- Les services comme Google (depuis 2008), Facebook, ou Youtube sont déjà accessibles en IPv6
- Les hébergeurs OVH & Dedibox (pas encore toutes les box) le proposent également ainsi que l'hébergeur IELO
- Côté fournisseur d'accès, il y a Free, Nerim ou FDN
- 9 des 13 serveurs racine DNS sont accessibles en IPv6
À quand notre LinuxFr préféré ? Ou votre site ? Petit rappel
IPv6 est composé de 128 bits, qui s'écrivent en hexadécimal, les 64 premiers bits servent au routage et au FAI, petit gâchis me semble-t-il : les 64 derniers bits sont pour la partie hôte (oui, plus pour vous que pour la planète entière en IPv4).
Cela ne va pas sans poser de problème de confidentialité, car par défaut l'adresse IPv6 est composée dans la partie hôte par l'adresse MAC de l'équipement connecté. Ce comportement par défaut peut bien sûr être modifié.
Il n'y a plus besoin de serveur DHCP (bien que DHCPv6 existe), IPv6 intégrant nativement la distribution des paramètres réseau depuis les routeurs, les postes obtiennent ainsi automatiquement leur réseau et leur partie hôte de l'IP (calculée automatiquement par la MAC). Une RFC ajoute également la distribution du serveur DNS par ce moyen (merci aux commentaires experts de retrouver son numéro !)
Point négatifs
IPv6 devait apporter de nombreuses fonctionnalités natives qui n'ont - me semble-t-il - pas été implémentées sur les routeurs "d'Internet", telle qu'IPv6 mobile ou le multicast.
Rappel de commandes utiles
- ifconfig -a
- Si je n'ai qu'une adresse de type "fe80::2", non ce n'est pas bon, il s'agit d'une adresse de lien local, et non d'une IPv6 publique
- Si j'ai une seconde IPv6 => ok , type 2a01:e35... pour les freenautes (case à cocher dans votre console de gestion pour activation), c'est parfait !
- Si je n'ai qu'une adresse de type "fe80::2", non ce n'est pas bon, il s'agit d'une adresse de lien local, et non d'une IPv6 publique
- ping6 ipv6.google.com
- traceroute6 ipv6.google.com
- ip -6 neigh
En conclusion
Nous revenons au début d'Internet, et oui beaucoup d'entre vous l'ont oublié, mais chaque poste était relié au net par une IP publique !
Attention donc aux réglages des paramètres de sécurité (pare-feux...). Pour cette raison en entreprise l'adoption de l'IPv6 ne sera sans doute pas activée avant très longtemps, une IPv6 publique fera sans doute du NAT pour aller vers internet, et/ou un proxy se chargeant de relayer les requêtes IPv4 vers IPv6 (merci à la dernière version squid). Il n'en est rien cependant pour les particuliers où la demande d'adresse est la plus importante !
Aller plus loin
- Compteur IPv4 (193 clics)
- Histoire IPv6 (66 clics)
- Google forcé en IPv6 (60 clics)
- Suis-je en IPv6 ? (Cf IP en haut à D.) (89 clics)
- IPv6 Howto (75 clics)
- Livre libre : IPv6 Théorie et Pratique (94 clics)
# Pas besoin de NAT pour faire de la sécurité bon marché
Posté par Bernez . Évalué à 6.
Attention donc aux réglages des paramètres de sécurité (pare-feux...). Pour cette raison en entreprise l'adoption de l'IPv6 ne sera sans doute pas activée avant très longtemps, une IPv6 publique fera sans doute du NAT pour aller vers internet
J'espère bien qu'on ne sera jamais témoins d'une telle aberration ! Pour obtenir le même de niveau de sécurité qu'avec le NAT couramment utilisé de nos jours, 3 lignes de configuration suffisent :
iptables -P FORWARD DROP
iptables -A FORWARD -i interface_internet -o interface_locale -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i interface_locale -o interface_internet -j ACCEPT
Là c'est un exemple avec Netfilter, mais j'imagine que tout pare-feu capable de faire du NAT peut en faire autant.
[^] # Re: Pas besoin de NAT pour faire de la sécurité bon marché
Posté par Anonyme . Évalué à 5.
Une IPv6 publique ne veut pas dire une IP complètement ouverte sur Internet. Cela veut dire qu'elle y est routable si on l'y autorise, rien de plus.
[^] # Re: Pas besoin de NAT pour faire de la sécurité bon marché
Posté par geb . Évalué à 3.
une IPv6 publique fera sans doute du NAT pour aller vers internet
Le NAT66 n'est pas encore implémenté, ni même standardisé.
[^] # Re: Pas besoin de NAT pour faire de la sécurité bon marché
Posté par M . Évalué à 2.
C'est pas le cas de la freebox par exemple.
[^] # Re: Pas besoin de NAT pour faire de la sécurité bon marché
Posté par Misc (site web personnel) . Évalué à 3.
[^] # Re: Pas besoin de NAT pour faire de la sécurité bon marché
Posté par 2PetitsVerres . Évalué à 6.
Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.
[^] # Re: Pas besoin de NAT pour faire de la sécurité bon marché
Posté par KiKouN . Évalué à 2.
[^] # Re: Pas besoin de NAT pour faire de la sécurité bon marché
Posté par ioctl . Évalué à 3.
Je suis d'accord, avoir un routeur/nateur ne remplace pas une vraie politique de sécurité, mais pour l'utilisateur lambda c'est déjà énorme de ne pas avoir ses services non sécurisés en libre accès sur Internet...
Je pense notamment à la multitudes de Windows avec un accès SMB/CIFS, éventuellement sans mot de passe.
[^] # Re: Pas besoin de NAT pour faire de la sécurité bon marché
Posté par Pinaraf . Évalué à 7.
En IPv4, par défaut, une freebox n'est pas en mode routeur et laisse également tout passer hein...
[^] # Re: Pas besoin de NAT pour faire de la sécurité bon marché
Posté par Arthur Accroc . Évalué à 2.
En effet, mais le mode routeur, tu peux l’activer, tandis qu’il n’y a (encore) rien pour activer un filtrage IPv6...
« Le fascisme c’est la gangrène, à Santiago comme à Paris. » — Renaud, Hexagone
[^] # Re: Pas besoin de NAT pour faire de la sécurité bon marché
Posté par Pierre Jarillon (site web personnel) . Évalué à 2.
Pour les habitués de ce site, cela va de soi mais trop peu de personnes :
- savent ce qu'est un routeur et à quoi ça peut servir,
- savent que leur freebox peut le faire,
- savent paramétrer leur freebox.
[^] # Re: Pas besoin de NAT pour faire de la sécurité bon marché
Posté par Pinaraf . Évalué à 2.
[^] # Re: Pas besoin de NAT pour faire de la sécurité bon marché
Posté par Xowap (site web personnel) . Évalué à 2.
Maintenant la possibilté de configurer un firewall dans la Freebox ça peut être bien, pour IPv4 et IPv6... Surtout pour madame Michu qui veut se protéger d'hadopi et qui n'utilise que le port 80, mouhahaha.
[^] # Re: Pas besoin de NAT pour faire de la sécurité bon marché
Posté par Barnabé . Évalué à 2.
Effectivement, si tu ne te sers pas de ton IPv6 il y a peu de chance que quelqu'un tombe dessus au hasard, mais dans ce cas, à quoi sert-elle ?
Par contre, si tu t'en sers, tu la diffuses à tous les sites sur lesquels tu te connectes, alors à moins de ne se connecter que sur des sites de confiance, le truc ultra secure, c'est juste pas vrai.
[^] # Re: Pas besoin de NAT pour faire de la sécurité bon marché
Posté par Xowap (site web personnel) . Évalué à 2.
[^] # Re: Pas besoin de NAT pour faire de la sécurité bon marché
Posté par GnunuX (site web personnel) . Évalué à -2.
Pour moi se protéger derrière du NAT ou un (pseudo) firewall c'est pareil pour un particulier.
[^] # Re: Pas besoin de NAT pour faire de la sécurité bon marché
Posté par Olivier Mehani (site web personnel) . Évalué à 1.
Tout comme ton IPv4 à l'heure actuelle.
[^] # La traduction d'adresses (NAT) n'a rien à voir avec la sécurité !
Posté par Olivier Mehani (site web personnel) . Évalué à 4.
On ne le répétera jamais assez, mais un NAT n'est en rien un élément de sécurité. C'est un hack pour permettre plus de flexibilité dans l'adressage de réseaux IPv4.
Certes, les boîtes faisant du NAT fournissent une telle sécurité, mais ce n'est en rien dû au fait qu'elles fassent de la traduction d'adresses. Elles ont aussi un rôle pare-feu. Il est tout à fait possible de remonter derrière un routeur NAT simple (c.-à-d. sans pare-feu), p.ex. en étant directement connecté à son lien externe définissant les routes à la main.
Ce sont deux fonctions complètement différentes et dissociables, même si Netfilter permet de gérer les deux. Dans l'exemple du parent, les règles données sont uniquement liées au routage (ou non) de certains paquets. Un simple pare-feu, donc. Rien à voir avec du NAT.
La traduction d'adresses IPv6 n'est pas standardisé. Il n'est même pas sûr qu'elle le soit un jour (autant apprendre des erreurs du passé), mais Netfilter supporte déjà pleinement les règles de pare-feu pour IPv6. Il suffit d'utiliser ip6tables(8).
D'un point de vue plus générique, il est tout aussi idiot de déléguer la seule sécurité d'un réseau à (certains de) ses routeurs d'accès uniquement. Un sécurité bien implémentée se fait à tous les niveaux: chaque machine doit avoir son propre pare-feu. Le fait que les adresses ne soit pas routables (sécurité par le secret) ou bloquées depuis l'extérieur ne tient pas longtemps quand une machine infectée se retrouve sur le réseau local, de l'autre côté du mur.
[^] # Re: La traduction d'adresses (NAT) n'a rien à voir avec la sécurité !
Posté par Yth (Mastodon) . Évalué à 7.
Tu as une seule IPv4 publique, donc un seul jeu de ports testables, et tu peux avoir plusieurs machines derrière.
Aucun des ports accessibles via l'extérieur n'atteignent les machines derrière, elles sont toutes inaccessibles sauf si tu ouvres explicitement un port ou une plage vers une machine.
Donc tes services inutiles dont tu ne connais même pas l'existence, et qui ne sont pas du tout sécurisés, ne sont pas accessible parce que tu es NATé.
Donc tu es protégé.
C'est peut-être un effet de bord du NAT, mais ça n'a rien à voir avec un quelconque pare-feu.
Et bien sûr, si tu fais du NAT mais que tu mets une machine en DMZ derrière, alors tu perds tout l'avantage, mais seulement pour cette machine, pas pour les autres machines derrière.
Et non, il n'est pas si rare que ça de voir des gens qui n'y connaissent pas grand chose en informatique avoir plusieurs machines et partager la connexion : c'est assez simple à mettre en place et bien pratique, les gens trouvent comment faire, et là tu as forcément du NAT sur ta box, avec au moins toutes les machines sauf une qui sont protégées des attaques directes.
Donc c'est un élément de sécurité en pratique, même si ce n'est pas fait pour. Et c'est généralement la plus basique et la meilleure sécurité qu'on peut installer chez des gens qui n'y connaissent rien. Parce que le pare-feu à la windows où tu coches sur « OK et ne m'emmerde plus avec ça » quand le premier virus mail venu te demande gentiment s'il a le droit de tout foutre en l'air, c'est pas l'idéal pour les gens qui n'y connaissent rien... Et pourtant c'est conçu comme un élément de sécurité.
Yth.
[^] # Re: La traduction d'adresses (NAT) n'a rien à voir avec la sécurité !
Posté par Batchyx . Évalué à 3.
Exactement ce que Olivier viens de dire quand il parle de sécurité à tout les niveaux.
[^] # Re: La traduction d'adresses (NAT) n'a rien à voir avec la sécurité !
Posté par Yth (Mastodon) . Évalué à 8.
Ca n'est pas suffisant, on est d'accord, mais ça un effet très aisé à constater : lâche un windows tout neuf en DMZ sur le net, il va mourir en quelques minutes.
Laisse le même NATé et ne surfe pas sur des sites vérolés et n'ouvre pas des mails bidons, et il ne lui arrivera rien.
Ce n'est pas fait pour, ce n'est pas suffisant, mais c'est un élément de sécurité : certaines attaques ne t'atteignent pas.
C'est un peu la même chose que de changer le port de ton SSH, ça n'augmente en rien la sécurité de ton serveur SSH, mais tu te prends tellement moins d'attaques qu'en pratique tu as beaucoup plus de chance de passer entre les mailles du filet, et en plus tes logs système sont nettement moins spammés. Ca a un effet, ce n'est pas suffisant.
Yth.
[^] # Re: La traduction d'adresses (NAT) n'a rien à voir avec la sécurité !
Posté par fearan . Évalué à 3.
En même temps si aucune saloperie n'a pu passer la grande muraille qu'est le serveur nat, les PCs derrière sont protégé.
Quant on maitrise l'intégralité des machines sur le réseau, qu'on ne clique pas comme un boulet dans les liens dans les mails, qu'on installe pas n'importe quoi, le nat est suffisant. Mon windows XP a tenu plusieurs années sans antivirus. Je me suis décidé à en installer un lorsque j'ai voulu scanner des fichiers d'origine douteuse. (et depuis le pc est devenu sacrément lent)
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
# oui mais non
Posté par NeoX . Évalué à 2.
Il n'en est rien cependant pour les particuliers où la demande d'adresse est la plus importante !ce n'est pas tant le nombre de machine dans les foyers que le nombre de foyers ou d'entreprises qui pose soucis.
sans compter les entreprises qui ont acheté une classe A privée et qui adressent toutes leurs machines dans cette classe alors que les machines sont derrieres un parefeu/NAT.
[^] # Re: oui mais non
Posté par GaGadget . Évalué à 8.
Tu voulais certainement parler de classe A _publique_.
[^] # Re: oui mais non
Posté par NeoX . Évalué à 2.
L'entreprise a acheté une classe A publique
et ce sert de ces IPs là pour adresser des machines "privées"
n'ayant aucun besoin de recevoir du trafic venant de l'exterieur (poste utilisateur donc et pas serveur).
cette entreprise consomme donc beaucoup d'IPv4 alors que 15 ou 20 IPs lui suffirait pour gerer ses serveurs.
[^] # Re: oui mais non
Posté par William Steve Applegate (site web personnel) . Évalué à 3.
À ma connaissance, les seules classes A allouées intégralement à des entreprises (et non à des RIR pour réallocation ultérieure) l'ont été au début d'IP (ce sont pour la plupart des entreprises Étatsuniennes, comme IBM, BBN ou le MIT, on a pu en voir une belle représentation graphique à [http://www.xkcd.com/195/]). Je doute fort que ces boîtes aient payé quelque chose à l'époque, et je ne pense pas que les RIR permettraient une transaction de gré à gré pour réallouer une /8 d'une de ces entreprises à une tierce partie.
Dans tous les cas, les règles d'allocation ne permettent pas de se pointer avec un portefeuille bien garni et de repartir avec une plage d'IP. Le RIPE est notoirement casse-bombons sur ses demandes de documentation concernant les besoins réels (i.e., nombre d'équipements sur le réseau), et les autres RIR ne doivent pas être en reste.
et ce sert de ces IPs là pour adresser des machines "privées"
n'ayant aucun besoin de recevoir du trafic venant de l'exterieur (poste utilisateur donc et pas serveur).
Euh… On ne cesse de dire que le NAT, saymal, que ça flingue le principe de la communication end-to-end, que c'est problématique pour la VoIP, le peer-to-peer, etc., et qu'IPv6 est justement là pour éliminer ce problème en fournissant une adresse routable à tout le monde, postes clients compris. De ce point de vue, l'entreprise que tu désignes a eu une approche louable pour la qualité du réseau. Il faudrait les féliciter au contraire.
De plus, il a déjà été indiqué que récupérer les plages IP inutilisées (y compris celles qui ne sont carrément pas annoncées via BGP) ne permettrait, au rythme actuel des allocations, que de gagner quelques mois. Du coup, je ne vois pas pourquoi ladite boîte battrait sa coulpe…
Envoyé depuis mon PDP 11/70
# Ça va être un beau bordel
Posté par Anonyme . Évalué à 6.
Franchement, je ne comprends toujours pas pourquoi l'ipv6 n'est pas déjà accessible à toute personne relié à l'internet aujourd'hui.
Mon serveur dédié à une adresse ipv6, je ne peux pas y accéder en l'utilisant... je ne peux pas non plus renvoyer un adresse dyndns vers cette adresse...
Sans compter qu'il n'existe AUCUN matériel réseau grand public compatible sur le marcher actuellement (je pense aux routeurs domestiques), je me suis payé un routeur gigabit et cette merde ne sera probablement jamais compatible ipv6...
Ça va prendre qu'elle forme au niveau des fournisseurs d'accès ? On aura une tranche d'adresse que l'on pourra attribuer à autant de machine qu'on le souhaite ? Dans ce cas on aura plus besoin de routeur, des switch suffiront (sauf pour le wifi) (enfin je dis ça, j'ai toujours eu du mal avec le réseau, ça se trouve je dis n'importe quoi).
Ils font comment free, ils filent une seule adresse ? Si c'est le cas ils sont radins, OVH me fournit un tranche plus large que l'ensemble des adresses ipv4, et pour un seul serveur.
je réfléchie au truc en même temps que j'écris, mais est-ce qu'ils sont vraiment prêt les FAI ? Et est-ce qu'ils ont pas un intérêt à rester en ipv4 ? (c'est une supputation, je ne sais pas pourquoi ils auraient un intérêt si intérêt il y a).
[^] # Re: Ça va être un beau bordel
Posté par Romeo . Évalué à 5.
Sans aucun doutes.
Ils font comment free, ils filent une seule adresse ?
Pour le moment free file un /64, ce qui veut dire un seul réseau.
D'après ce que j'ai compris ça ne devrait pas durer.
[^] # Re: Ça va être un beau bordel
Posté par François (site web personnel) . Évalué à 3.
Comment ça, ça ne va pas durer ? Je suis très intéressé par la question, il y aurait moyen d'avoir plus d'info sur ce point ?
[^] # Re: Ça va être un beau bordel
Posté par Romeo . Évalué à 1.
[^] # Re: Ça va être un beau bordel
Posté par Pinaraf . Évalué à 4.
[^] # Re: Ça va être un beau bordel
Posté par Damien Thébault . Évalué à 1.
Le seul problème du /64 que je vois, c'est que en théorie on y met un seul LAN derrière (interdit de sous-classer en deux /65 ou plein de /96).
Mais bon, un /64 moi ça me va très bien, c'est 2^64 fois mieux qu'en ipv4 en fait.
[^] # Re: Ça va être un beau bordel
Posté par Xowap (site web personnel) . Évalué à 6.
Et puis même, si tu veux mettre ton propre routeur devant la Freebox, tu peux pleurer car t'as le choix entre 2 hacks immondes :/ (et dans les 2 cas, tu n'es pas réellement routeur)
[^] # Re: Ça va être un beau bordel
Posté par briaeros007 . Évalué à 3.
Tu fous ce que tu veux derrière. Y'aura pas de flics pour venir t'arrêter hein.
Par contre si tu veux utiliser des sous réseaux plus "précis" que du /64, tu ne peux plus utiliser l'autoconfiguration, tu devrais forcément passer par une conf statique ou un dhcpv6
[^] # Re: Ça va être un beau bordel
Posté par Ph Husson (site web personnel) . Évalué à 3.
[^] # Re: Ça va être un beau bordel
Posté par Ph Husson (site web personnel) . Évalué à 2.
[^] # Re: Ça va être un beau bordel
Posté par Anonyme . Évalué à 3.
C'est clair que le changement ne se fera pas d'un coup. Rien ni personne n'est prêt pour cela. Les tunnels IPv4-to-IPv6 ont de beaux jours devant eux.
[^] # Re: Ça va être un beau bordel
Posté par Vlobulle . Évalué à 2.
[^] # Re: Ça va être un beau bordel
Posté par Krunch (site web personnel) . Évalué à 4.
Par contre, les applications d'entreprise qui sont utilisées sans mise à jour, c'est monnaie courante (pas d'argent/temps pour mettre à jour, on touche pas tant que ça marche, fournisseur qui a fait faillite,...).
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Les vieux jeux ne sont pas morts
Posté par Zenitram (site web personnel) . Évalué à 6.
Moi. Certains jeux n'ont pas d'équivalent (le premier auquel je pense est M.A.X. http://en.wikipedia.org/wiki/Mechanized_Assault_%26_Explorat(...) , presque 15 ans! Et aucun équivalent correct depuis la mode des jeux en "temps réel"...). Et hors IPX, point de salut.
Perso, je n'essaye pas de jouer en réseau avec, étant un peu seul à aimer ce genre de jeu (déjà à l'époque) et vu qu'IPX c'est la merde à installer aujourd'hui, mais bon, ça pourrait avoir son utilité. Et ce jeu n'a pas été patché pour utiliser IP à ma connaissance.
Il reste encore plein de "old games" en vente même : http://www.gog.com
Ca reste toutefois une "part de marché" même inférieure à Linux sur le desktop, je te l'accorde
[^] # Re: Les vieux jeux ne sont pas morts
Posté par Nicolas Boulay (site web personnel) . Évalué à 2.
"La première sécurité est la liberté"
[^] # Re: Ça va être un beau bordel
Posté par Édouard Siha . Évalué à 2.
[^] # Re: Ça va être un beau bordel
Posté par e-t172 (site web personnel) . Évalué à 3.
[^] # Re: Ça va être un beau bordel
Posté par Xowap (site web personnel) . Évalué à 6.
[^] # Re: Ça va être un beau bordel
Posté par e-t172 (site web personnel) . Évalué à 8.
Valve est un de ces rares éditeurs qui met un point d'honneur à faire plaisir à ses clients. Oui je sais, ça surprend au début.
[^] # Re: Ça va être un beau bordel
Posté par geb . Évalué à 4.
Par contre, les applications d'entreprise qui sont utilisées sans mise à jour, c'est monnaie courante (pas d'argent/temps pour mettre à jour, on touche pas tant que ça marche, fournisseur qui a fait faillite,...).
Y compris en FLOSS.
Typiquement, je pense à openvpn, qui ne supporte les tunnels au dessus d'ipv6 que via un patch externe. C'est un peu un comble pour un soft réseau ... et c'est clairement pas le seul exemple dans ce cas là.
[^] # Re: Ça va être un beau bordel
Posté par totof2000 . Évalué à 6.
[^] # Re: Ça va être un beau bordel
Posté par briaeros007 . Évalué à 3.
Parce qu'openvpn est plus simple à mettre en place, peut gérer du "vpn à vpn", et peut gérer un vpn niveau 2, tout en envoyant les données de façon applicative.
Certes il y a de l'overhead mais plus simple à gérer niveau firewall etc...
ipsec de l'autre coté à un certains nombres de problèmes tels que
- gestion hasardeuse au niveau des pare feu (pas de numéros de ports!)
- configuration relativement compliqué (tu te trompe, t'es mort pour refaire la conf en ssh)
- pas de gestion de vpn à vpn
etc...
[^] # Re: Ça va être un beau bordel
Posté par totof2000 . Évalué à 2.
Effectivement, d'ou ma remarque.
Ca fait des lustres que je me dis qu'il me faudrait le faire au moins une fois pour le fun .... mais jamais réellement pris le temps de le faire (par contre j'ai déjà joué avec OpenVph)
Certes il y a de l'overhead mais plus simple à gérer niveau firewall etc...
C'est donc une question de choix : simplicité contre moins d'overhead. Autre point, il me semble quIPSec est nativement intégré à Windows, donc la mise en place d'ipsec pourrait également simplifier le déploiement sur les postes de travail.
[^] # Re: Ça va être un beau bordel
Posté par Xowap (site web personnel) . Évalué à 3.
[^] # Re: Ça va être un beau bordel
Posté par William Steve Applegate (site web personnel) . Évalué à 2.
Moi j'en ai installé (en IPv4 uniquement) et je n'ai pas trouvé ça terriblement plus casse-pieds qu'OpenVPN… pour peu qu'on s'entende bien à l'avance avec l'autre partie sur les chiffrements et hachages à utiliser. Autrement, gare aux déconvenues.
- gestion hasardeuse au niveau des pare feu (pas de numéros de ports!)
En fait, la gestion n'est pas « hasardeuse » à proprement parler (un peu spéciale tout au plus ; il faut laisser passer les protocoles ESP et AH en sus du port 500, c'est peu ou prou trois lignes dans ton ACL ou dans tes règles iptables) mais là où ça se complique c'est lorsque, sur le chemin, se trouve un pare-feu que l'on ne contrôle pas. Auquel cas, ben évidemment ça va marcher beaucoup moins bien, et ça va être coton à résoudre. Sans compter les cas où le pare-feu en question est spécifiquement là pour vous empêcher d'utiliser IPsec ou un VPN quelconque (l'Internet mobile d'un certain opérateur aux arômes fruités est un cas d'école).
- configuration relativement compliqué (tu te trompe, t'es mort pour refaire la conf en ssh)
Avec OpenS/WAN, ce n'est pas la mer à boire (la doc' est un peu brouillonne, mais on y arrive). Avec un Cisco, c'est très long parce qu'il y a des tonnes de commandes à taper entre la policy, les ACL et la crypto map, mais ça reste faisable. Le plus souvent, les problèmes arrivent quand on ne s'est pas suffisamment assuré que les deux extrémités ont les mêmes politiques de chiffrement, et essayent bien de négocier un tunnel avec les mêmes caracs.
Le vrai problème (à mon avis) est surtout que, le protocole étant complexe, les messages de déverminage sont longs comme un jour sans pain, et peu explicites (ceux qui ont eu à se taper la sortie d'un debug crypto isakmp + debug crypto ipsec ne me contrediront pas).
- pas de gestion de vpn à vpn
Là, je ne saisis pas très bien ce que tu veux faire. Pourrais-tu préciser ce à quoi tu fais référence ?
Envoyé depuis mon PDP 11/70
[^] # Re: Ça va être un beau bordel
Posté par briaeros007 . Évalué à 2.
Dans l'absolue non.
Dans la pratique, une erreur de conf peut bloquer tout le traffic entre les deux machines, et le debug, d'après ce que j'ai vu, est loin d'être évident.
Par rapport à openvpn, tu as juste a fournir la clé et le certificat du CA au client, et utiliser une fichier de conf standard au niveau d'openvpn.
Et si tu te trompe dans la conf d'openvpn, pas de problème pour récupérer la main en ssh sur la machine par exemple.
En fait, la gestion n'est pas « hasardeuse » à proprement parler (un peu spéciale tout au plus ; il faut laisser passer les protocoles ESP et AH en sus du port 500, c'est peu ou prou trois lignes dans ton ACL ou dans tes règles iptables)
quand je disais hasardeuse c'était plus parce que certains firewall sont perdus dès que tu n'as plus de numéro de port sur un paquet et le drop alors (ie n'accepte que tcp/udp).
Ou alors l'interface du firewall ne gère pas l'ipsec, même si la couche le gère (petit routeur soho etc...)
Avec OpenS/WAN, [...]
Le vrai problème (à mon avis) [...] les messages de déverminage sont longs comme un jour sans pain, et peu explicites [...]
1°) voui tout à fait d'accord, c'est à ça que je faisais référence
2°) et, suivant la configuration, si tu te trompes, tu bloque tout les flux (ie il n'acceptera que les flux ipsec "correctes", et aucun autre flux, et ipsec ne fonctionnant pas encore...".
Donc pour reprendre la main et gérer le problème ...
Là, je ne saisis pas très bien ce que tu veux faire. Pourrais-tu préciser ce à quoi tu fais référence ?
Par exemple : tu utilises un serveur openvpn.
Il est assez facile, de mémoire, de dire au niveau du serveur, "tu vas dire a tel et tel client que pour accéder à tel vpn, tu vas passer par chez moi" (ie annonce de routes et ainsi de suite).
Ainsi permettre à un ordi sur le site A de pouvoir accéder à un ordi sur un site B.
Sur de l'ipsec, tu es obligé de gérer ca client par client (enfin sauf erreur de ma part).
Si tu rajoute un site, tu es obligé de revoir la conf de chaque client.
[^] # Re: Ça va être un beau bordel
Posté par William Steve Applegate (site web personnel) . Évalué à 1.
J'ai déjà vu ce genre de trucs, mais uniquement sur du matos grand public (les petits routeurs SOHO que tu mentionnes, ou des box pourries). Et il est rare qu'il y ait besoin de VPN IPsec chez ce genre de client. Au pire, je raconte que le routeur « il est pas siquioure » et je leur fais prendre un matériel à moitié décent.
2°) et, suivant la configuration, si tu te trompes, tu bloque tout les flux (ie il n'acceptera que les flux ipsec "correctes", et aucun autre flux, et ipsec ne fonctionnant pas encore...".
Donc pour reprendre la main et gérer le problème ...
Ahem… C'est sur quel OS, ça ? Perso, je mets toujours un accès SSH direct (limité à l'adresse IP du bural), et les foirages dans la conf' IPsec n'impactent pas cet accès.
Il est assez facile, de mémoire, de dire au niveau du serveur, "tu vas dire a tel et tel client que pour accéder à tel vpn, tu vas passer par chez moi" (ie annonce de routes et ainsi de suite).
Ah oui, autrement dit, router des paquets sur le VPN plus loin que les réseaux juste derrière le concentrateur et annoncer les routes automatiquement au pair d'en face. Pour les VPN site-à-site, les solutions ne manquent pas (genre tu fais un tunnel GRE-over-IPsec et tu fais tes annonces en RIP ou OSPF par-dessus), mais évidemment ce n'est pas utilisable pour les « roadwarriors ». En fait, c'est que tu voudrais, je suppose, c'est un équivalent des « VTI IPsec dynamiques » des Cisco. Je ne sais hélas pas si ça existe (je ne pense pas qu'OpenS/WAN tout seul le permette ; peut-être avec un démon L2TP au-dessus y a-t-il moyen de faire quelque chose, mais je n'ai jamais essayé)…
Envoyé depuis mon PDP 11/70
[^] # Re: Ça va être un beau bordel
Posté par Xowap (site web personnel) . Évalué à 7.
Dans le pire du pire, le FAI va te donner un /64. Dans le cas de Free, c'est un /60 dont tu ne vois qu'un seul subnet, et un autre est utilisé par les telesites. En théorie un jour tu pourras utiliser un /61 à ta guise, mais ça c'est quand ils auront le temps...
Et donc, si tu as un /64 il te reste encore le carré du nombre d'IPv4 pour adresser les machines dans ton réseau, ce qui fait assez large :)
Concernant ton dédié inaccessible en IPv6, OVH n'active pas l'IPv6 par défaut, c'est à toi de le faire ( http://guides.ovh.com/Ipv4Ipv6 ).
Et concernant l'état des FAI, Free est ok, les autres c'est variable... On sait que les DSLAM ne gèrent pas l'IPv6, donc il va falloir faire du tunnel comme chez Free, après il parraît qu'Orange passe son backbone en IPv6, en théorie ils lancent leurs offres en 2010 (pour l'instant on n'a vu qu'un VPN en IPv6 chez eux).
En règle générale, l'IPv6 est caché partout, mais pas activé (activable), ou pas configuré...
[^] # Re: Ça va être un beau bordel
Posté par geb . Évalué à 5.
En même temps l'ipv6 chez ovh, ça arrive que ça tombe en marche, mais pas souvent... comme beaucoup de choses chez ovh en fait.
[^] # Re: Ça va être un beau bordel
Posté par Anonyme . Évalué à -2.
(mais je suis d'accord sur ton troll)
[^] # Re: Ça va être un beau bordel
Posté par Grunt . Évalué à 1.
Si je peux me permettre un modeste conseil: passe à IPv6. Je connais un Christophe qui trouverais ça super comme décision.
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: Ça va être un beau bordel
Posté par Anonyme . Évalué à -1.
Et je ne peux pas changer de FAI car il a le monopole d'exploitation de son réseau, à savoir Numéricable.
[^] # Re: Ça va être un beau bordel
Posté par Zenitram (site web personnel) . Évalué à 3.
Après, c'est toi qui décide qu'IPV6 n'est pas une priorité pour toi par rapport à d'autres choses "plus importantes"... Mais ne te cache pas derrière des fausses excuses.
[^] # Re: Ça va être un beau bordel
Posté par Arnaud Boudou (site web personnel) . Évalué à 2.
Il en existe au moins deux : les Apple Airport Extreme Base Station, et les Time Capsule (en mode tunnel, routeur ou hôte).
[^] # Re: Ça va être un beau bordel
Posté par ʭ ☯ . Évalué à 8.
⚓ À g'Auch TOUTE! http://afdgauch.online.fr
[^] # Re: Ça va être un beau bordel
Posté par Arnaud Boudou (site web personnel) . Évalué à 2.
[^] # Re: Ça va être un beau bordel
Posté par ouin . Évalué à 5.
"Vendu chez Darty" ou "Vu à la télé" sont bien deux synonymes de "Grand public" non?
[^] # Re: Ça va être un beau bordel
Posté par Tonton Benoit . Évalué à 6.
Colle-lui un DD-WRT ou un OpenWRT et il sera compatible IPv6 ! C'est ce que j'ai fait avec ma vieille Fonera !
Pour le grand public l'IPv6 ne sera absolument pas "un beau bordel" le changement sera totalement transparent leur matériel récuperera son IPv6 via l'autoconfiguration, les "redirections de ports" dans l'interface de leur *box serons remplacées par des "ouvertures de ports" et il n'y verra que du feu !
C'est ce que je fais chez moi, j'annonce un préfixe IPv6 sur le réseau, les PC de la famille/amis s'autoconfigurent avec, ils surfent en IPv6 sur GMail/Youtube et quelques encore trop rares sites IPv6 ready, changement invisible pour l'utilisateur de base !
En fait, moins on en dira au grand public à ce sujet mieux ce sera ! Ajouter la peur naturelle du changement aux difficultés rencontrés par le grand public avec l'outil informatique et la peur de devoir "réapprendre" on risquerait de provoquer un phénomène de résistance et qu'une majorité préfère rester derrière un NAT "comme sur mon téléphone" de peur de "devoir changer".
[^] # Re: Ça va être un beau bordel
Posté par Sylvain Sauvage . Évalué à 2.
Bien sûr. Et c’est très « grand public », ça.
Sans compter qu’une fois l’installation faite, il reste encore la configuration : l’utilisation de SixXS (ou similaire) ou, pire, l’IPv6 de Free…
Pour le grand public l'IPv6 ne sera absolument pas "un beau bordel" le changement sera totalement transparent leur matériel récuperera son IPv6 via l'autoconfiguration, les "redirections de ports" dans l'interface de leur *box serons remplacées par des "ouvertures de ports" et il n'y verra que du feu !
Oui, dans dix ans quand les FAI auront fait leur boulot.
[^] # Re: Ça va être un beau bordel
Posté par Tonton Benoit . Évalué à 2.
Après, dans dix ans, j'espere pas quand-même, car si c'est vrai que certains annoncent depuis longtemps la fin de l'IPv4 pour demain, faut pas tomber dans l'extrémisme inverse de croire que l'IPv4 est une ressource illimitée ! La pool d'IPv4 disponible au niveau de l'IANA n'est que de 13 blocs, il n'y a eu que deux blocs rétrocédés depuis 3 ans et on en a déjà consommés 14 cette année !
Donc si on doit attendre 10 ans on va certainement se retrouver derrière un NAT au niveau du FAI entre-temps, comme c'est déjà le cas pour l'internet mobile :(
[^] # Re: Ça va être un beau bordel
Posté par Xowap (site web personnel) . Évalué à 8.
[^] # Re: Ça va être un beau bordel
Posté par Zenitram (site web personnel) . Évalué à 3.
Réfractaires ou juste que le coût de formation ne vaut pas le gain (quel gain?) apporté par IPv6?
Perso, je comprend à 100% les entreprises qui ne veulent pas payer de formation IPv6 à leurs admin ou les équipementiers (même pour le grand public comme des routeurs WLAN qui se vendent comme des petits pains) qui n'implémentent pas IPv6, ils ne voient pas en quoi ça augmenterai leur rentabilité, c'est de l'argent dépensé pour rien, alors autant garder l'argent pour des trucs qui servent vraiment. Même pas trop de vision à moyen terme (gain concurrentiel par rapport à ceux qui savent qu'IPv4? Pour le moment, la visibilité est très faible).
Bref, les entreprises disent depuis des années qu'il y a un problème de rentabilité avec IPv6, mais rien à faire, les geeks peu nombreux trouvent ça super et voudraient que les autres dépensent dans le vide. Et si ils écoutaient les reproches fait au passage à IPv6? Ce n'est pas un compteur qui va les faire changer d'avis, surtout que le ton alarmiste existe depuis des années.
[^] # Re: Ça va être un beau bordel
Posté par Pinaraf . Évalué à 10.
C'est amusant de voir dans le monde de l'informatique, réputé pourtant pour sa rapidité de changement, une telle réticence. Quoi qu'on en dise, quelque chose est nécessaire pour fournir un accès Internet sur toutes les machines de la planète. L'IPv4, avec le NAT, ne le permet déjà plus finalement : on se retrouve obligés de faire l'équilibre avec les ports pour permettre l'accès à N services derrière une IP publique. Mais bien sûr, avec l'ADSL, l'envie de faire de l'hébergement chez soi est vite freinée par la réalité d'un débit montant minable. Mais quid de la fibre ? Que se passera-t-il quand les gens comprendront le potentiel d'un système vraiment décentralisé, hors de tout noeud central, où l'on pourra partager des données avec son voisin, ses amis ou sa famille ? Là, l'IPv4 deviendra un énorme frein.
Un tel service n'existe pas aujourd'hui, donc l'IPv6 ne sert à rien ? Et si c'était l'inverse ? Et si, à cause du manque d'IPv6, un tel service n'existait pas ? Pourquoi les anti-IPv6 prennent-ils toujours le problème dans ce sens et ne veulent-ils pas admettre la moindre opportunité dans un ajout de l'IPv6 ?
[^] # Re: Ça va être un beau bordel
Posté par Zenitram (site web personnel) . Évalué à 2.
Ce n'est pas parce qu'on ne voit pas l’intérêt de lâcher du fric qu'on est "anti". Trouve une vraie utilité, et tout le monde sautera dessus. Pour le moment, NAT permet tout ce dont on a besoin (et de toutes manières, il faut développer les logiciels pour gérer le NAT pour l’existant), et on peut toujours avoir des IPv4 pour pas cher, ça c'est la réalité de tous les jour pour toi et moi, qu'on soit derrière un FAI ou admin de serveur chez OVH.
Il n'y a pas d'anti, juste des gens qui ne voient pas l’intérêt.
Et si, à cause du manque d'IPv6, un tel service n'existait pas ?
Un exemple de service qui ne peut pas exister faute d'IPv6? Si il y a un besoin, t'inquiète le net sera très très réactif... IPv6 a pour le moment démontré aucun service sur les réseaux où il est utilisé qui ne peut pas être déployé faute d'IPv6 ailleurs.
Je ne suis absolument pas contre IPv6, juste que ça coûté de l'argent pour rien de démontré.
Il faut pas se leurrer : tant que les IPv4 seront la, toujours aussi peu chères, et qu'un service ne demandera obligatoirement IPv6 pour fonctionner, les gens ne vont pas balancer de l'argent juste pour les beaux yeux de la belle technique.
[^] # Re: Ça va être un beau bordel
Posté par Romeo . Évalué à 9.
[^] # Re: Ça va être un beau bordel
Posté par ~ lilliput (site web personnel) . Évalué à 2.
Un reseau d'entreprise, universite, ainsi que les *BOX (je l'espere fortement) une politique de bloquage par defaut du traffic entrant, les fameux modules de connection tracking pour le SIP, FTP seront toujours necessaire. C'est un defaut des conceptions de ces protocoles.
Et ne me sortez pas l'argument du /64 est tres grand donc pas besoin de bloquer le traffic. Les reconnaissances *passives* de reseaux exisiteront toujours, reverse DNS, DNS, etc...
La pile IPv4 est a peine securise, y'a pas si longtemps Microsoft a corriger une faille lie a l'IPv4 sur win7, on parle meme pas d'ipv6.
Le plus grand changement sur l'IPv6 est la notation de l'IP elle meme, le nombre de syntaxe autorise est absolument effarente, j'imagine meme pas le nombre de bugs lies dans les interfaces web et autre lib user space, parce qu'une IP ce n'est pas que du routage.
http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk
[^] # Re: Ça va être un beau bordel
Posté par Grunt . Évalué à 3.
https://linuxfr.org//~nicolas_o/28809.html
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: Ça va être un beau bordel
Posté par pasScott pasForstall . Évalué à 7.
Typiquement, le monde de la voip serait tres interesse par l'ipv6, ca leur eviterait de devoir faire des pirouettes pour passer les nat et de se faire latter les couilles par Skype qui le fait tres bien.
Ca leur ferait probablement atomiser un gros paquet de code (et supprimer du code l'arbre VCS, ca doit probablement etre la meilleur pratique qualite qui existe) et reduirais leur couts de QA.
Par contre, pour que ca marche, faut que les FAI se reveillent et passent en ipv6.
Eux ca les gonfle, ca leur rapportera pas forcement grand chose voire leur couterais des sioux, et pour certains ca pourrait meme interferer avec leur business de triple play.
C'est un exemple, on doit pouvoir en trouver d'autres.
If you can find a host for me that has a friendly parrot, I will be very very glad. If you can find someone who has a friendly parrot I can visit with, that will be nice too.
[^] # Re: Ça va être un beau bordel
Posté par Zenitram (site web personnel) . Évalué à -7.
Vous voulez reporter le faible coût de développement de contournement des limites d'IPv4 vers des FAI pour qui ça coûte cher de déployer IPv6. Le monde de la VoIP vit très bien avec IPv4 et NAT, les particuliers et les professionnels aussi (je l'utilise quasi-quotidiennement, je suis en NAT, mon client aussi, et on fait de la VoIP gratuitement, et on a rien de secret défense à dire)
D'une aucune démonstration que le coût total est inférieur avec IPv6, et de deux vous voulez que ce soit les autres qui payent, sans qu'ils aient un retour économique. Les autres vous disent "merde" pour le moment, et vous ne le comprenez pas? Faut le dire en quelle langue? montrez que vous êtes prêts à aller chez un FAI qui investit dans IPv6 en allant chez Nerim par exemple, bizarrement dès que c'est *vous* qui devez dépenser de l'argent, il y a moins de monde au balcon. C'est fou ce qu'on peut avoir envie de faire avec l'argent des autres. IPv6 est utile? Démontrez-le (avec des sous, désolé, mais la vie est comme ça : les gens n'aiment pas dépenser des sous pour rien) plutôt de demander qu'on vous fasse un truc juste pour vos beaux yeux!
[^] # Re: Ça va être un beau bordel
Posté par pasScott pasForstall . Évalué à 9.
If you can find a host for me that has a friendly parrot, I will be very very glad. If you can find someone who has a friendly parrot I can visit with, that will be nice too.
[^] # Re: Ça va être un beau bordel
Posté par Zenitram (site web personnel) . Évalué à -1.
Je veux bien baisser d'un ton le jour où tu arrêteras de demander aux autres de faire des choses qu'ils devraient faire juste parce que tu le demandes. Tu aimes peut-être faire des choses gratuitement, tu fais ce que tu veux, mais tu n'as pas à imposer aux autre de travailler gratuitement, tu peux juste les convaincre par la démonstration qu'il y a un intérêt pour eux (et pour le moment, la démonstration n'est pas convaincante, tu auras beau répéter que la VoIP serait mieux, la réalité montre que la VoIP va très bien)
[^] # Re: Ça va être un beau bordel
Posté par llaxe . Évalué à 8.
2 Ceux qui gèrent les infrastructures réseau considèrent que l'ipv4 suffit largement à faire fonctionner la Voip comme ça. L'ipv6 pourrait même gêner leur business de Voip.
Je pense que vous êtes tous les deux d'accord là-dessus en fait.
[^] # Re: Ça va être un beau bordel
Posté par Zenitram (site web personnel) . Évalué à 1.
Ma critique concerne le fait de demander aux autres de bosser gratuitement, d’engueuler les FAI (par exemple, mais on peut aussi citer les constructeur de routeur grand public etc...) juste parce qu'ils ne sont pas philanthropes. Il est toujours plus facile de demander aux autre de dépenser que de sortir les deniers de sa propre bourse...
[^] # Re: Ça va être un beau bordel
Posté par Grunt . Évalué à 2.
Tant qu'il s'agit de râler y'a du monde, dès qu'il s'agit de bouger y'a plus personne...
Ah oui, Nerim ne propose pas de triple-play. Ben si le triple-play est plus important que IPv6 pour vous, c'est pas la peine de venir nous corner sur LinuxFR que IPv6 est super important. Faites plutôt un journal pour dire "le single play est mort, vive le triple play".
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: Ça va être un beau bordel
Posté par Gniarf . Évalué à 4.
[^] # Re: Ça va être un beau bordel
Posté par claudex . Évalué à 2.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Ça va être un beau bordel
Posté par Xowap (site web personnel) . Évalué à 2.
[^] # Re: Ça va être un beau bordel
Posté par Grunt . Évalué à 3.
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: Ça va être un beau bordel
Posté par claudex . Évalué à 6.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Ça va être un beau bordel
Posté par Vivien MOREAU . Évalué à 2.
Ça n'enlève rien au fait que les gens peuvent toujours prendre un abonnement chez FDN ou Nerim, effectivement.
[^] # Re: Ça va être un beau bordel
Posté par Zenitram (site web personnel) . Évalué à 2.
Ca signifie beaucoup de choses... Il n'y a que dans les actes qu'on voit ce que pensent réellement les gens et quelles sont leurs priorités.
[^] # Re: Ça va être un beau bordel
Posté par Pinaraf . Évalué à 3.
[^] # Re: Ça va être un beau bordel
Posté par Zenitram (site web personnel) . Évalué à 1.
[^] # Re: Ça va être un beau bordel
Posté par Pinaraf . Évalué à 2.
[^] # Re: Ça va être un beau bordel
Posté par Tonton Benoit . Évalué à 2.
[^] # Re: Ça va être un beau bordel
Posté par Tonton Benoit . Évalué à 3.
La seule raison qui empêche free d'offrir l'IPv6 aux non-dégroupés c'est qu'ils n'ont pas sorties de nouvelles versions du firmware pour les Freebox v4 non-dégroupées depuis 2007 !
Et de toutes façons, quitte à passer par un tunnel, l'offre de Hurricane Electric est plus intéressante !
[^] # Re: Ça va être un beau bordel
Posté par Xowap (site web personnel) . Évalué à 4.
[^] # Re: Ça va être un beau bordel
Posté par Xowap (site web personnel) . Évalué à 2.
Probablement un coût/demande pas assez favorable...
[^] # Re: Ça va être un beau bordel
Posté par Xowap (site web personnel) . Évalué à 4.
Et très franchement l'implémentation de l'IPv6 n'est pas (plus) de la philanthropie. Il y a tellement à y gagner pour tous les utilisateurs du réseau et les concepteurs d'applications que l'intérêt économique est là. Quand aux acteurs du réseau ils seront bientôt coincé quand ils voudront une nouvelle IPv4.
[^] # Re: Ça va être un beau bordel
Posté par pasScott pasForstall . Évalué à 2.
Oula. On parle la meme langue?
Tu demandes des exemples de ce qu'apporte IPv6 par rapport a la v4, je t'en donne. En fait je pensais meme pas au libre en parlant de voip, plutot d'eventuels concurrents a Skype, ou meme Skype eux meme, je pense que ca les arrangerais bien de pas avoir a supporter ce vilain hack degueux qu'est le passage au travers de nat, la facture de dev/QA doit etre assez salee pour un truc pareil, vu le nombre de configs qu'ils faut tester.
Tout ca en mettant bien clairement en preambule que ceux a qui ca beneficient ne sont pas necessairement ceux qui paieront la facture, sous entendu "ca explique pourquoi les acteurs ne sautent pas sur la technologie si elle est tellement mieux", qui est un des tes points principaux.
La technologie est clairement mieux, elle ouvre beaucoup de portes a beaucoup de monde, fait economiser des sous, grossir le penis, revenir ta femme et donne le poil soyeux a ton chien.
Bref, c'est pas forcement aussi simple que tu veux bien le caricaturer.
Dernier point: que tu fasses de la voip chez toi gratos de pc a pc, c'est une chose. Mais toi qui est si prompt a degainer l'argument financier, demandes toi au final qui paye pour le development du hackage de nat de skype, pour faire marcher la version sur un reseau 3g, ou chaque device est grosso modo sur un reseau interne.
Et demandes toi si tu ne prefererais pas soit payer moins cher, soit que skype ait plus de sous pour ameliorer son produit.
"On a toujours fait comme ca", c'est sur que ca casse rien, vu qu'on a toujours fait comme ca, ca me fait marrer quand c'est darmon qui sort la replique dans Asterix et cleopatre, mais c'est pas le genre d'attitude qui me fait particulierement plaisir a voir dans un domain hi tech comme les reseaux.
If you can find a host for me that has a friendly parrot, I will be very very glad. If you can find someone who has a friendly parrot I can visit with, that will be nice too.
[^] # Re: Ça va être un beau bordel
Posté par Zenitram (site web personnel) . Évalué à 4.
Tu en donnes, oui.
Des convaincants, non.
De nos jours, on utilises plein de protocoles dépassé, non optimaux (HTML est verbeux, les mails sont en 7-bits avec caractères d'échappement...), pourquoi? Car les solution de remplacements coûtent plus cher que de vivre avec l'existant.
Et c'est exactement la même chose avec IPv6. Pourquoi t'insurges-tu contre la non volonté de passer à IPv6 et pas contre continuer avec ce protocole pourri qu'est le mail? Essaye de faire un lecteur de mail, avec les quotes, Base64 qui bouffe 33% de place pour rien et compagnie, il y a plein de gain à avoir aussi.
Bref, c'est pas forcement aussi simple que tu veux bien le caricaturer.
Je ne caricature pas, je vois juste la réalité : IPv6 n'est pas sexy, n'apporte pas grand chose par rapport au coût de migration. On y passera, faute d'adresses IP, un jour. Mais ce ne sera pas un an, mais plutôt 10 ou 20 ans, car en attendant, les gens vivront bien avec une IP non publique, comme on le fait depuis des années alors qu'IPV6 existe depuis des années.
Des super protocoles et formats, il y en a plein les cimetières, juste parce qu'ils ont oublié une petite chose : il ne suffit pas d'être un peu mieux, il faut être nettement meilleur quand on veut dépasser un protocole ou format déjà en place, car IPV4 a un très très gros avantage : il est très utilisé.
Et demandes toi si tu ne prefererais pas soit payer moins cher, soit que skype ait plus de sous pour ameliorer son produit.
Le problème est que personne n'arrive à démontrer qu'utiliser IPv6 va faire faire des économies. On voit les dépenses, on ne voit pas les gains. Et pour les gains, il faut qu'il y en ai pour tous ceux qui doivent dépenser, sinon ça ne marchera pas.
Tu auras beau dire "c'est génial, il faut y passer", ça ne changera pas la réalité : IPv6 n'a pas grand chose pour lui, ce n'est pas pour rien qu'il n'est pas déployé depuis 10 ans. le manque d'adresse IPv4 fera sans doute une petite pression, mais si peu.
Vous entêter à dire que vous avez raison ne changera pas la réalité : ce n'est pas moi qui dit que vous faites fausse route, ce sont les acteurs Internet qui ne déploient pas IPv6 en majorité. C'est un peu comme Linux que le desktop : 1% de gens qui ont raison, les autres sont des idiots qui ont tord. Ou pas.
[^] # Re: Ça va être un beau bordel
Posté par Xowap (site web personnel) . Évalué à 4.
Et ça explique aussi pourquoi l'IPv6 n'est toujours pas mondialement déployé alors que ça fait 10 ans qu'on se dit que l'an prochain c'est le bon. Donc en effet, je ne m'attends pas à une migration du jour au lendemain. D'ailleurs personne n'a fait ça, c'est pourquoi y'a des mécanismes de transition et qu'on s'attendait à un basculement sur une dizaine d'années ou plus. Mais comme tu le dis, personne n'a réussi à démontrer l'immense avantage d'IPv6, donc on a continué avec IPv4, par ce que ça marchait et que tout le monde l'utilisait.
Cependant aujourd'hui (ou demain, si tu préfères) on arrive dans une situation différente : les stratégies court-termistes consistant à royalement ignorer l'IPv6 en se disant qu'on a bien le temps d'y passer arrive à ses limites et c'est là qu'on aperçoit les failles de ton raisonnement : contrairement au SMTP qui peut être colmaté avec le temps, l'IPv4 a un défaut mortel qui est son nombre d'adresses. Les sociétés qui souhaitent s'étendre, et il y en a partout dans le monde, se retrouvent bloquées dans leur croissance numérique par le manque d'adresses IP. Il y a des palliatifs (le NAT, les load balancers, ...), mais ces palliatifs ont à la fois un coût (1Gbps dans un switch qui forward bêtement les paquets ou 1Gbps dans un truc qui doit comprendre le protocole et prendre des décisions intelligentes, c'est pas le même coût) et une limite. Ainsi, même si il est encore possible de faire du colmatage, cela doit uniquement servir à s'acheter du temps pour passer en IPv6, car il n'y a aucune autre alternative si on veut que le réseau puisse s'étendre.
[^] # Re: Ça va être un beau bordel
Posté par pasScott pasForstall . Évalué à 1.
- Je n'ai jamais exige quoi que ce soit de quiconque. Et surement pas une ipv6. Je m'en tamponne, mais t'as pas idee.
- Je n'ai jamais dit qu'il fallait passer a ipv6 la maintenant, toussuite, sinon la terre elle va exploser.
- Oui, ipv6 a des avantage non negligeables
- Non, ceux qui y voient des avantages ne sont pas ceux qui doivent payer pour faire la migration.
Conclusion: Des avantages, il y en a, soyons en sur. Vivre sans, on peut raisonnablement, soyons en sur egalement. La raison principale du manque d'action etant que les avantages ne sont pas pour ceux qui doivent payer la migration.
Faut que je repete encore une fois ou tu vas encore me repeter que j'ai tord d'exiger ipv6 et que j'ai qu'a payer?
If you can find a host for me that has a friendly parrot, I will be very very glad. If you can find someone who has a friendly parrot I can visit with, that will be nice too.
[^] # Re: Ça va être un beau bordel
Posté par Zenitram (site web personnel) . Évalué à 1.
Exact, ma réaction était plus globale que dirigée vers toi, elle plus vers les gens qui exigent que leur FAI/Constructeur passent à IPv6, exigence sans aucun argument ou contrepartie.
- Oui, ipv6 a des avantage non negligeables
Par contre, la, non : j'en ai toujours pas trouvé de non négligeable. La monde va très bien sans, et rien n'a toujours été démontré d'utile à grande échelle (plus d'utilité que pour des geeks acharnés). IPv6 a des avantages, oui, négligeable aussi, et c'est pour cette raison que presque tout le monde le néglige d'ailleurs.
Faut que je repete encore une fois ou tu vas encore me repeter que j'ai tord d'exiger ipv6 et que j'ai qu'a payer?
Donc tu ne réagiras pas si j'affirme que tu penses que déployer IPv6 est un truc de geek fou avec le bilan avantages/inconvénients actuel?
Sinon, oui, tu n'exiges rien précisément dans tes commentaires, mais d'autres l'exigent, et tu semblais les cautionner, d'où ma réaction. Maintenant, j'attend donc que tu leur répondes aussi à eux, qu'il faudrait qu'ils arrêtent leurs exigences et qu'ils assument si il veulent IPv6 en prenant un FAI qui le propose si ça leur tient vraiment à coeur.
[^] # Re: Ça va être un beau bordel
Posté par Antoine . Évalué à 10.
C'est bien le problème de laisser la gestion d'une ressource commune à des acteurs privés à but lucratif (pour la majorité d'entre eux) et mis en concurrence « libre et non faussée » les uns avec les autres.
Bref, pas spécifique du tout à l'IPv6, et pour le coup il est facile de taper sur les « geeks », qui ne sont ici que le messager.
# Tout ce qui est rare est cher
Posté par llaxe . Évalué à 6.
-----------------------------------------------------------------
Donc les équipements ipv6 bon marché sont chers...
Plus sérieusement, est-ce que certains n'ont pas intérêt à la raréfaction des adresses ipv4 sans passage à ipv6, si tout ce qui est rare est cher ?
[^] # Re: Tout ce qui est rare est cher
Posté par Zenitram (site web personnel) . Évalué à 2.
Faut investir dans les @IPv4 pour les revendre plus cher que l'or bientôt?
Ca fait des années que je vois "dans un an, le monde s'écroule, plus qu'un an et c'est fini" (oui, ça fait des années que c'est démontré que c'était faux...), mais rien y fait, on te file des adresses IP à tour de bras et personne ne demande ni propose des routeurs IPv6 chez le grand public non plus (je viens de m'offrir un routeur Wifi dernier cri, ça booste un max, mais point d'IPv6...), tout porte à croire pour le moment qu'il n'y a pas de besoin (ni que dans un an le monde s'écroulera faute d'adresse IPv4).
Si il y a pénurie, pourquoi les prix des @IP sont toujours aussi bas, non incitatif (désolé, mais le prix est le seul truc qui est compris par les gens) à passer à IPv6?
[^] # Re: Tout ce qui est rare est cher
Posté par Xowap (site web personnel) . Évalué à 3.
Toutes les sociétés d'hébergement vont se retrouver dans la merde d'ici 2 ou 3 ans, car elles n'auront plus aucune IP pour connecter de nouvelles machines.
Moi je dis, c'est le moment de se lancer dans le buisness des load balancers...
[^] # Re: Tout ce qui est rare est cher
Posté par geb . Évalué à 8.
[^] # Re: Tout ce qui est rare est cher
Posté par Croconux . Évalué à 5.
C'est la raison pour laquelle la pénurie annoncée de longue date est toujours loin d'être là. La plupart des opérateurs occidentaux ont obtenu des plages d'adresses énormes à l'époque où on pensait avoir le temps de voire venir. Aujourd'hui ils tapent dedans et ils en ont encore sous le pied. C'est pour les derniers arrivés (pays émergeants) que c'est la merde.
[^] # Re: Tout ce qui est rare est cher
Posté par geb . Évalué à 2.
- Les allocations se font toujours, et pas moins rapidement qu'avant (au contraire)
- En ce moment, c'est l'asie qui enregistre le plus de blocks (via l'APNIC)
(Source http://labs.ripe.net/Members/kistel/content-ipv4-address-all(...) )
# Et Windows dans tout ça
Posté par pamputt . Évalué à 1.
Toute les distributions GNU/Linux digne de ce nom supporte nativement l'IPv6, il me semble que MAC OS X la supporte également mais qu'en est il de Windows.
J'ai laché Windows à sa version XP qui je crois ne prends pas en charge l'IPv6, est ce que ça a changé avec Vista et 7 ?
[^] # Re: Et Windows dans tout ça
Posté par Julien Humbert . Évalué à 3.
[^] # Re: Et Windows dans tout ça
Posté par Xowap (site web personnel) . Évalué à 7.
À savoir que Microsoft a du DHCPv6 client qui a l'air de fonctionner (sous Linux on en est loin), il a sa solution pour les DNS (que j'aime pas, mais qui se défend), c'est activé par défaut (oui je sais sous Linux aussi maintenant), et en règle générale on sent la pression de Microsoft pour pousser les utilisateurs vers l'IPv6... Enfin bref, dans Windows l'IPv6 est partie intégré, alors que dans Linux les briques sont là mais pas le mortier...
Après, certains produits du genre ISA ne gèrent toujours pas l'IPv6 et ça c'est carrément une horreur pour les entreprises qui utilisent ça comme proxy par exemple :/
[^] # Re: Et Windows dans tout ça
Posté par Tonton Benoit . Évalué à 3.
[^] # Re: Et Windows dans tout ça
Posté par Xowap (site web personnel) . Évalué à 8.
[^] # Re: Et Windows dans tout ça
Posté par pasBill pasGates . Évalué à 3.
La grand-mere ? Le firewall est actif par defaut, rien n'ira nulle part.
Le geek ? Si il fait les choses correctement il est au courant, idem pour l'entreprise
[^] # Re: Et Windows dans tout ça
Posté par Brioche4012 (site web personnel) . Évalué à 2.
D'ailleurs c'est une des choses qui pose de gros problème; comme tu le dis, Windows se démerde bien avec DHCPv6, mais GNU/Linux lui se démerde bien pour recalculer son IP à partir de son addresse MAC + une composante aléatoire. Le soucis c'est que les fabricants de routeurs aimeraient bien se la couler douce comme avec IPv4 en ne faisant qu'une méthode d'attribution, hors ils doivent en implémenter 3 d'un coup qui sont assez différentes...
[^] # Re: Et Windows dans tout ça
Posté par Xowap (site web personnel) . Évalué à 0.
[^] # Re: Et Windows dans tout ça
Posté par inico (site web personnel) . Évalué à 2.
[^] # Re: Et Windows dans tout ça
Posté par Xowap (site web personnel) . Évalué à 1.
% cat /proc/sys/net/ipv6/conf/all/use_tempaddr0
Je critiquais la non activation par défaut, pas l'impossibilité de le faire.
Que ce soit clair, Linux peut tout à fait gérer l'IPv6 dans sa quasi totalité, seulement c'est pas bien configuré, les applications ne "collent" pas entre elles...
Exemple : oui dans Debian tu peux faire du DHCPv6, non tu ne peux pas le mettre dans le fichier interfaces. Ou encore, généralement rdnssd ne vient pas par défaut (par contre à priori Fedora a le support de RDNSS intégré au NetworkManager)
[^] # Re: Et Windows dans tout ça
Posté par totof2000 . Évalué à 2.
Linux n'a rien à activer par défaut, il doit juste proposer la fonctionnalité.
[^] # Re: Et Windows dans tout ça
Posté par Xowap (site web personnel) . Évalué à 1.
[^] # Re: Et Windows dans tout ça
Posté par inico (site web personnel) . Évalué à 1.
Fedora 14 doit être mieux mais j'ai pas encore eu le temps de MAJ (réinstallation from scratch car j'ai trop de modifications pour qu'une upgrade normale réussisse)...
[^] # Re: Et Windows dans tout ça
Posté par Xowap (site web personnel) . Évalué à 2.
On reste LOIN du DHCP classique dans l'intégration au système.
# Encore de la pub pour Google™
Posté par Niniryoku . Évalué à 8.
> traceroute6 ipv6.google.com
ping6 example.orgtracepath6 example.org
fonctionnent chez moi et évitent de faire de la pub pour Google :) .
Knowing the syntax of Java does not make someone a software engineer.
[^] # Re: Encore de la pub pour Google™
Posté par Frédéric Perrin (site web personnel) . Évalué à 1.
% host -t AAAA www.facebook.comwww.facebook.com has no AAAA record
[^] # Re: Encore de la pub pour Google™
Posté par John Balcaen (site web personnel) . Évalué à 3.
[^] # Re: Encore de la pub pour Google™
Posté par geb . Évalué à 3.
(Cf: http://www.google.com/intl/en/ipv6/ )
# dns en ipv6
Posté par Sébastien TeRMiToR . Évalué à 1.
Description : IPv6 recursive DNS server discovery daemon
rdnssd autoconfigures recursive DNS servers on IPv6 networks using ICMPv6 Neighbor Discovery (RFC 5006), and can update the DNS resolvers configuration (/etc/resolv.conf)
accordingly.
Site : http://www.remlab.net/ndisc6/
Marche bien avec free.
L'avertissement de serveur dns sans dhcp fonctionne pour moi en tout cas.
[^] # Re: dns en ipv6
Posté par Sébastien TeRMiToR . Évalué à 1.
Mais peut de site fonctionne déjà en ipv6.
:)
[^] # Re: dns en ipv6
Posté par Damien Thébault . Évalué à 8.
Les gens veulent juste faire un copier/coller de ce qui se fait en IPv4 sans se poser de question, mais il n'y a justement plus besoin de s'embêter avec le DHCP avec ce qui est dispo en IPv6.
Le seul argument en faveur de DHCPv6 que j'ai vu pour l'instant c'était "Ça permet aux admins d'avoir la liste des machines." (ce qui est une raison un peu pourrie quand même, si ton seul moyen c'est d'utiliser DHCPv6 t'es pas dans la merde)
[^] # Re: dns en ipv6
Posté par Xowap (site web personnel) . Évalué à 4.
* Il serait utile pour distribuer les DNS, si il n'y avait pas RDNSS.
* Les clients DHCPv6 sont boiteux : fonctionnement pas terrible, intégration nulle au système.
Le plus simple est efficace reste de reposer sur l'autoconf stateless + rdnss (en n'oubliant pas d'installer rdnssd sur ses machines). Cette solution là passe toute seule :)
Et si vous voulez la liste des machines sur le même lien local : ping6 -c 2 -I eth0 ff02::1
[^] # Re: dns en ipv6
Posté par Amand Tihon (site web personnel) . Évalué à 4.
En IPv4, DHCP ne sert pas seulement à configurer le réseau et à indiquer les serveurs DNS.
Qu'en est-il par exemple du boot réseau pour les machines diskless ? Il me semble que DHCPv6 est actuellement la seule solution (et encore, je ne sais pas du tout où ça en est). Le netboot en IPv6 pur est-il déjà possible ?
La RFC-5970 semble dater de septembre 2010, ce qui est quand même très récent.
[^] # Re: dns en ipv6
Posté par Xowap (site web personnel) . Évalué à 1.
Après si tu veux mon avis le nombre de BIOS qui gèrent ça n'est pas très élevé, donc en fait tu ne peux utiliser que du bon vieux DHCP :)
# 5% ne refletent pas vraiment la réalité.
Posté par geb . Évalué à 10.
1) L'IANA attribut des blocks (/8) aux RIRs, organismes chargées de la gestion des IPs au niveau regional ( Un pour l'europe (RIPE), un pour les US,un pour l'afrique, etc...)
2) Les RIRs les assignent aux opérateurs.
3) Les opérateurs les utilisent pour leurs clients.
Les 5% correspondent à l'espace restant du coté de l'IANA. Les RIRs ont encore un peu de reserve, de même que les opérateurs. Donc si vous prennez une connexion dans 1 ans, il y a peu de chance que vous vous retrouviez sans IPv4.
[^] # Re: 5% ne refletent pas vraiment la réalité.
Posté par BAud (site web personnel) . Évalué à 2.
et tu ne crois pas que ce serait mieux de commencer à se faire attribuer de l'IPv6 ?
[^] # Re: 5% ne refletent pas vraiment la réalité.
Posté par geb . Évalué à 9.
[^] # Re: 5% ne refletent pas vraiment la réalité.
Posté par Mildred (site web personnel) . Évalué à 1.
# NON, Free ne propose pas l'ipv6 !
Posté par Christophe Chailloleau-Leclerc . Évalué à 2.
Ça fait une différence...
[^] # Re: NON, Free ne propose pas l'ipv6 !
Posté par B16F4RV4RD1N . Évalué à 4.
Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
[^] # Re: NON, Free ne propose pas l'ipv6 !
Posté par Pinaraf . Évalué à 8.
Les personnes non dégroupées ne passent pas par un DSLAM free, ça réduit les possibilités laissées à free.
[^] # Re: NON, Free ne propose pas l'ipv6 !
Posté par Zenitram (site web personnel) . Évalué à 3.
C'est une question de volonté.
Maintenant, je comprend que Free ne dépense pas de fric dedans, ils investissent dans les choses intéressantes, et pour le moment IPv6 n'apporte rien à l'utilisateur donc pas "vendable" (et c'est pas pour les quelques milliers de geeks que ça va rentabiliser).
[^] # Re: NON, Free ne propose pas l'ipv6 !
Posté par Pinaraf . Évalué à 9.
[^] # Re: NON, Free ne propose pas l'ipv6 !
Posté par 2PetitsVerres . Évalué à 10.
Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.
# RENATER propose aussi de l'IPv6
Posté par Nonolapéro . Évalué à 4.
Je dis « en théorie » parce que par exemple le campus de la Doua à Lyon les bâtiments sont relié par le réseau Rocad qui n'est pas compatible avec l'IPv6 (au moins du côté INSA) et la DSI conseille de désactiver l'IPv6. Du coup ce n'est pas gagné pour avoir un réseau moderne et totalement compatible avec le reste du monde. Pour l'anecdote, il est arrivé que le service informatique de mon labo soit à la recherche d'adresse IP libres pour installer de nouvelles machines.
[^] # Re: RENATER propose aussi de l'IPv6
Posté par Xowap (site web personnel) . Évalué à 2.
[^] # Re: RENATER propose aussi de l'IPv6
Posté par inefab . Évalué à 2.
[^] # Re: RENATER propose aussi de l'IPv6
Posté par Nonolapéro . Évalué à 4.
# ipv6
Posté par M . Évalué à 5.
On passe pas dessus parce qu'il est sexy, mieux, nous simplifie la vie.
Non on est forcé de passer dessus, mais c'est tellement compliqué qu'on profite de ipv4 jusqu'au dernier moment (ie c'est le manque d'adresse ipv4 qui nous force la main).
Combien de fournisseur vont switcher complétement à ipv4 et ne pas mettre seulement en place un système de tunnel ?
Combien de temps on va devoir garder ipv4 ? Que faire de tout le matos que l'on a et qui ne supportera jamais ipv6 (routeur, console, ...). On va devoir émulé ipv4 au dessus d'ipv6 (ce qui revient a faire un NAT).
Vu les plages fournies en ipv6 (au moins /64), on va pouvoir tenir combien de temps ?
[^] # Re: ipv6
Posté par geb . Évalué à 6.
Vu les plages fournies en ipv6 (au moins /64), on va pouvoir tenir combien de temps ?
Bah, comptes:
2^(64-3) /64 disponibles , soit 2^(64-32-3) fois l'espace d'adressage ipv4
2^(56-3) /56 disponibles , soit 2^(56-32-3) fois l'espace d'adressage ipv4
2^(48-3) /48 disponibles , soit 2^(48-32-3) fois l'espace d'adressage ipv4
Donc, même si tout le monde récupère un /48, il y a 2^(48-32-3=13) fois plus de /48 de disponibles que d'adresses ipv4; ça laisse un peu de marge, nan ? :)
( -3 car actuellement seul 2000::/3 est déstiné à être annoncé sur internet).
[^] # Re: ipv6
Posté par Brioche4012 (site web personnel) . Évalué à 3.
Si les professionnels sont réticents à passer à IPv6, c'est parce que ça brise leurs petites habitudes IPv4, et que ça leur entraîne des coûts pour le changement de matos etc.
Ce n'est en aucun cas un indicateur de la maturité/performance d'IPv6.
[^] # Re: ipv6
Posté par M . Évalué à 1.
C'est bien ce que je disais ça leur apporte rien. Que des frais pour le nouveau matos.
Sinon, même niveau user c'est chiant. Va retenir une ipv6 : impossible. Et puis c'est chiant a taper.
[^] # Re: ipv6
Posté par Xowap (site web personnel) . Évalué à 9.
Et puis bon, rien ne t'empêche d'avoir comme IP fe80::dead:face sur ton réseau local, et ça tu pouvais pas le faire en IPv4. Et toc.
[^] # Re: ipv6
Posté par M . Évalué à -2.
[^] # Re: ipv6
Posté par Xowap (site web personnel) . Évalué à 2.
Le DHCP peut communiquer des entrées au DNS, une piste à suivre ? :/
[^] # Re: ipv6
Posté par kna . Évalué à 6.
Après je ne l'ai jamais utilisé en pratique. Je ne connais pas ses éventuels défauts...
[^] # Re: ipv6
Posté par Xowap (site web personnel) . Évalué à 1.
[^] # Re: ipv6
Posté par zebra3 . Évalué à 8.
Source : http://video.google.com/videoplay?docid=-7398680103951126462 d'après Avahi (logiciel)
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: ipv6
Posté par Zenitram (site web personnel) . Évalué à -1.
Oh que si... Si IPv6 a un quelconque intérêt (une maturité? une performance?), ils l'utiliseraient de suite. Seulement voila : pour le moment, IPv6 n'a aucun intérêt, c'est plus rentable de jouer avec les évolutions d'IPv4 (NAT etc...).
Qu'apporte IPv6 à un constructeur? A un utilisateur? à un FAI? C'est quoi sa "killer feature"? Parce qu'à part "la manque d'adresse IP dans 1 an" qu'on a depuis 5-6 ans maintenant qu'on a du mal à croire tellement c'est toujours aussi facile d'avoir une @IP (voir 10 d'un coup pour pas cher) quand on commande un serveur, rien d'autre n'est mis en avant comme fonctionnalités intéressantes (=vendable, intéressante, performante, gain économique, un truc quoi!) pas possible à faire avec IPv4. Alors peut-être qu'on sera un jour dos au mur sans adresse IPv4 dispo, mais une chose est sûre alors : la façon de faire, en laissant les gens acheter pour un prix modique les adresse IP, est foireuse : elle n'incite aucunement à se préparer à la pénurie.
[^] # Re: ipv6
Posté par Xowap (site web personnel) . Évalué à 8.
En IPv6, non seulement les gens peuvent te joindre directement sans contourner du NAT avec des gros hacks, mais en plus tu peux envoyer ta vidéo en multicast, donc une seule fois. Bonus : si tu es en situation de mobilité et que ton IP change (disons en 3G), tes connexions TCP restent intactes.
Pour finir, le NAT en plus d'être une immonde merde atroce ne peut utiliser que 65535 ports, ce qui n'est franchement pas scalable dans le futur.
[^] # Re: ipv6
Posté par Zenitram (site web personnel) . Évalué à -1.
Donc : qu'apporte IPV6 a ces utilisateurs? Toujours rien... Pas moins cher, pas plus facile à configurer (c'est simple avec Skype : login/pass, point, après Skype s'occupe du reste), rien, les développeurs ont trouvé des solutions plus performantes que de demander à passer à IPv6.
Oui, ça fout la merde, le développeur doit bosser plus, mais le résultat est la : d'un côté, ça marche, de l'autre c'est pas déployé.
Sinon, 65535 ports est amplement suffisant pour n'importe quel humain chez lui, aucun problème non plus de ce côté.
[^] # Re: ipv6
Posté par Xowap (site web personnel) . Évalué à 10.
Du point de vue concepteur d'application, ça ouvre quand même pas mal de portes, sans avoir besoin d'inventer des protocoles sparadrap. On pourra peut être enfin imaginer des applications P2P qui peuvent supposer que les autres peers sont joignables directement...
Maintenant concernant les limites du NAT. Petit rappel : pour chaque connexion établie, un numéro de port est consommé. Imagine un opérateur qui te fournit du NAT dans du NAT, ce qui sera obligatoire quand il n'aura plus d'IPv4. Dans le cas d'un pays comme la Chine, on peut imaginer que, vu le nombre de gens qu'il reste à connecter et le nombre d'adresses qu'ils ont, il faille mettre au moins 100 ou 1000 NAT derrière une IP publique. Ce qui fait entre 650 et 65 ports par utilisateur.
Avec les évolutions technologiques, bientôt chaque utilisateur aura au minimum un PC et un téléphone portable connectés au réseau domestique. En plus de cela, on peut imaginer mettre le frigo, le système d'alarme, la gestion de l'éclairage, ... Si tu te souviens bien du paragraphe précedent, on en est à 65 connexions par utilisateur, tu crois que tout ça peut rentrer dans la limite ? Rien qu'un seul navigateur représente des dizaines de connexions...
Le NAT va être limitant pour les usages déjà présent, alors si on veut un internet qui évolue un jour, oui il va falloir passer à l'IPv6 sinon la technologie réseau va être condamnée à stagner.
[^] # Re: ipv6
Posté par Mildred (site web personnel) . Évalué à 1.
On est bien d'accord, ça ne tiendra pas longtemps. A un moment, les limites seront tellement tendues que ça finira par craquer.
[^] # Re: ipv6
Posté par Xowap (site web personnel) . Évalué à 3.
Dit autrement : le calcul était basé sur le nombre d'IP publique disponible (enfin, au pif hein), pas sur le nombre de routeurs.
[^] # Re: ipv6
Posté par M . Évalué à 3.
Tu peux facilement faire un pont ipv4 vers ipv6 (il suffit de faire une bijection entre les ipv4 et des ipv6).
Par contre pour faire un pont ipv6 vers ipv4 il faudra faire du NAT vu que nb(ipv6) > nb(ipv4).
Donc dans 222 jours ceux qui n'auront plus ipv4 seront Naté ;)
Et vu que pour le moment la majorité de l'internet est sur ipv4, les FAI ont tout interret a récupérer le max d'adresse ipv4 tant qu'il y en a.
Aujourd'hui avoir seulement une ipv6 est suicidaire (tu es coupé du monde).
Et j'en reviens a l'echec d'IPV6. ipv6 c'était pas seulement plus d'adresse, c'etait censé amené d'autre fonctionnalité intéressante (mobilité, ...). Sauf que ça n'a pas l'air d'avoir marché...
Et la transition est merdique : 2 réseau disjoins...
[^] # Re: ipv6
Posté par Sylvain Sauvage . Évalué à 5.
[^] # Re: ipv6
Posté par Xowap (site web personnel) . Évalué à 2.
-----------> [ ]
[^] # Re: ipv6
Posté par Niniryoku . Évalué à 7.
Il y a selon wikipedia¹ : « 667 millions de milliards d'adresses [IPv6] disponibles par mm2 de la surface de la Terre ». Donc je pense que j'ai le droit à mon /64 comme tout le monde.
¹. [http://fr.wikipedia.org/w/index.php?title=IPv6&oldid=586(...)]
Knowing the syntax of Java does not make someone a software engineer.
# Re:
Posté par Tonton Benoit . Évalué à 2.
# Le problème : l'arriérisme ambiant
Posté par Pinaraf . Évalué à 3.
Improve firefox speed : disable IPv6 (!!) (en français : améliorez les performances de firefox, désactivez l'IPv6)
Voilà, ce genre de connerie va aussi contribuer pendant des années à faire dire aux gens que l'IPv6 c'est nul, ou tout simplement retarder son déploiement...
[^] # Re: Le problème : l'arriérisme ambiant
Posté par Zenitram (site web personnel) . Évalué à -1.
La connerie ne serait-elle pas plutôt qu'elle me ralentit tout en ne m'apportant rien?
Les geeks à fond dans IPV6, mais avec aucun argument concret (que l'utilisateur sent) pour dire que IPv6 c'est bien. C'est pas comme ça que les utilisateurs vont aimer IPv6, effectivement.
[^] # Re: Le problème : l'arriérisme ambiant
Posté par Pinaraf . Évalué à 9.
Pour ma part, j'active l'IPv6 sur les freebox de mes amis qui souhaitent que je les dépanne à distance : je leur mets ma clé publique SSH, j'active SSH avec authentification par clé et je note sur ma machine l'IPv6 de leur machine pour un dépannage sans aucune prise de tête avec le NAT.
Autre fonctionnalité que j'ai déjà utilisé : de l'échange de fichiers directement entre machines avec des amis.
Une autre ? L'hébergement de sites ou de démos sur ma machine, avec un enregistrement AAAA dans un DNS.
Bien sûr, au plus l'IPv6 se fera désactiver sans raison valable, au plus ce sera difficile d'argumenter en sa faveur. Ça s'appelle un cercle vicieux, et il est vrai qu'il faut un minimum de courage et de raisonnement pour lutter contre.
[^] # Re: Le problème : l'arriérisme ambiant
Posté par Zenitram (site web personnel) . Évalué à -10.
Argumenter l'évidence? 99.999% de la planète n'est pas d'accord avec ton "évidence" : on vit très bien sans, sans se limiter en fonctionnalités.
Les défenseurs d'IPv6 ont un gros problème : tout ce qu'ils disent qu'on peut faire avec IPv6, ben on se débrouille très bien (et on maîtrise mieux) en IPV4. Aucun gain en temps ou en économie (voire pire en IPv6 : formation etc)
[^] # Re: Le problème : l'arriérisme ambiant
Posté par Pinaraf . Évalué à 7.
Configurer l'IPv6 ? Cocher une case, redémarrer la freebox.
Ho, c'est la faute à la freebox ?
Prenons la livebox. Hi hi, dois-je en dire plus ? Comment tu fais du NAT avec un machin qui, du jour au lendemain, oublie l'IP attribuée à l'imprimante réseau et casse donc la configuration d'impression des 3 machines du réseau ? Et l'interface de la livebox est insupportable. Mais hélas, chez eux, point d'IPv6, donc je suis effectivement bien emmerdé dans ce cas. Au passage, quand j'utilisais encore une livebox, impossible de router du port 4242 vers le port 22 par exemple, il fallait configurer sur la machine pour que sshd écoute le port 4242. Super pratique.
Par contre, je n'ai jamais touché à une neufbox.
Donc non, pour le grand public, le NAT est également la chienlit à configurer. Pour le grand public, l'IPv6 devrait être systématiquement activé parce que ça n'apporte qu'une simplicité de configuration accrue.
Sinon, pour en revenir au troll initial, à savoir un problème de performances : en quoi est-ce la faute d'IPv6 ? Si l'IPv6 ralentit Firefox, c'est Firefox qui est en tort, pas l'IPv6 !
[^] # Re: Le problème : l'arriérisme ambiant
Posté par Xowap (site web personnel) . Évalué à 1.
[^] # Re: Le problème : l'arriérisme ambiant
Posté par Florent Fourcot . Évalué à 6.
t0 A example.com -> Serveur DNS
t0 AAAA example.com -> Serveur DNS
t1 example.com = X.Y.Z.W <- Serveur DNS
t2 AAAA example.com -> Serveur DNS (timeout, par défaut c'est 5 secondes sous Linux)
t3 Server fail <- Serveur DNS
Avec t1~t0 et t2~t3, de l'ordre du négligeable, une requête DNS classique. Le timeout pour le AAAA fait très mal par contre. 5 secondes de perdues, c'est énorme. Et même si on envoie les deux requêtes en même temps, on n'utilise pas la première, on attend d'avoir les deux réponses (avant c'était pire. On attendait la réponse AAAA avant de demander le A).
Le serveur DNS tout pourri qui ne sait pas gérer les AAAA répondrait simplement à la première réponse une erreur ou l'absence de champ, tout irait bien. Mais là, ne renvoyer aucun paquet, c'est un désastre (et la seule solution pour avoir une navigation correcte est dans ce cas soit de désactiver les requêtes DNS IPv6 de son navigateur, soit de changer de serveur DNS. La première est plus facile pour pas mal de gens...).
[^] # Re: Le problème : l'arriérisme ambiant
Posté par nicolas . Évalué à 4.
nicolas:~% mplayer http://xxx.hd.free.fr:port/mpd.ogg
MPlayer 1.0rc3-4.4.4 (C) 2000-2009 MPlayer Team
Playing http://xxx.hd.free.fr:port/mpd.ogg.
Resolving xxx.hd.free.fr for AF_INET6...
Couldn't resolve name for AF_INET6: xxx.hd.free.fr
Resolving xxx.hd.free.fr for AF_INET...
Connecting to server xxx.hd.free.fr[IPv4]: port...
Cache size set to 4096 KBytes
Cache fill: 0.39% (16384 bytes)
Exiting... (Quit)
nicolas:~% mplayer http://xxx.hd.free.fr:port/mpd.ogg -prefer-ipv4
MPlayer 1.0rc3-4.4.4 (C) 2000-2009 MPlayer Team
Playing http://xxx.hd.free.fr:port/mpd.ogg.
Resolving xxx.hd.free.fr for AF_INET...
Connecting to server xxx.hd.free.fr[IPv4]: port...
Cache size set to 4096 KBytes
Cache fill: 1.37% (57344 bytes)
Exiting... (Quit)
Tout ça pour dire qu’effectivement ce genre de comportement amène un cercle vicieux : le réseau n’est pas en IPv6, du coup on désactive l’IPv6 des logiciels…
Question subsidiaire, c’est possible d’avoir un nom de domaine pour mon IP en v6 avec Free ?
[^] # Re: Le problème : l'arriérisme ambiant
Posté par Xowap (site web personnel) . Évalué à 3.
[^] # Re: Le problème : l'arriérisme ambiant
Posté par zebra3 . Évalué à 2.
J'ai pas encore essayé IPv6, mais j'ai bien envie et ça ne peut pas être aussi ch*ant que l'interface web de la Livebox...
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: Le problème : l'arriérisme ambiant
Posté par Grunt . Évalué à 2.
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: Le problème : l'arriérisme ambiant
Posté par tiot (site web personnel) . Évalué à 4.
J'aimerais bien configurer le NAT de mon opérateur mobile.
[^] # Re: Le problème : l'arriérisme ambiant
Posté par Zenitram (site web personnel) . Évalué à 3.
Reste à trouver une application qui nécessite d'accéder au mobile pour pouvoir rendre le service, tu en as une "vendable"? Car pour le moment les utilisateurs de mobiles vivent très bien sans configuration possible du NAT, sans adresse publique.
Pour pouvoir vendre une technologie, il faut donner des exemples d'utilisation utile pour l'utilisateur, et qu'on ne peut faire qu'avec cette technologie. Tant qu'il n'y aura pas cette application, ben le jour où il n'y aura plus d'IPv4 dispo, la seule chose que fera le FAI, c'est fournir une adresse natté aussi sur le fixe, sans que l'utilisateur ne hurle vu que ça ne changera rien pour lui (le P2P nous sauvera-t-il? Car il faut configurer le NAT pour que ce soit efficace. Par contre, ça marche pour le fixe, mais pas pour le mobile, vu le prix du Mo)
[^] # Re: Le problème : l'arriérisme ambiant
Posté par Pinaraf . Évalué à 2.
[^] # Re: Le problème : l'arriérisme ambiant
Posté par Zenitram (site web personnel) . Évalué à 2.
Et pour IPv6? Ben non, rien, mais "il faut investir".
Le monde ne fonctionne pas comme ça : il y a plein de super-technologies qui sont passées à la trappe, faute d'utilité. Ce n'est pas un dédoublement de personnalité, juste une réalité : si tu ne proposes pas un package technologie + utilité, pas foule va déployer ta technologie. Tout marketeux de base le sait. Malheureusement pour IPv6, pour le moment IPv4 rempli très bien le boulot qu'on lui demande (avec des saloperies comme NAT, mais il le fait sans tout casser)
On risque de se retrouver comme avec ATM : une superbe technologie, mais chère par rapport à ce qu'on peut faire moins classe mais tellement moins cher.
[^] # Re: Le problème : l'arriérisme ambiant
Posté par Pinaraf . Évalué à 2.
Le soucis, c'est que presque personne n'a le nécessaire pour tester et déployer de l'IPv6. L'internet est devenu un nid à fric, les vautours qui se le partagent ne permettent pas de faire d'expérience pour montrer l'utilité d'IPv6.
[^] # Re: Le problème : l'arriérisme ambiant
Posté par claudex . Évalué à 10.
Non, lors du déploiement d'IPv4, il n'y avait rien. Les sites web sont apparus bien après. C'est seulement l'Internet Protocol qui a pu permettre l'arrivée du web.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Le problème : l'arriérisme ambiant
Posté par tiot (site web personnel) . Évalué à 2.
une application de VoIP qui ne passe pas par un serveur central, ça ne serait pas mal non ?
Il faut bien voir qu'en France nous avons, heureusement, que les téléphones mobiles derrières des NAT, mais ce n'est pas le cas dans tous les pays. Il y aussi, dans le monde, des gens derrières des NAT pour leurs connexions internet fixes. Et on leur refuse de pouvoir auto hébergé un serveur web, ou un serveur SSH.
[^] # Re: Le problème : l'arriérisme ambiant
Posté par M . Évalué à 2.
une application de VoIP qui ne passe pas par un serveur central, ça ne serait pas mal non ?
Tu veux dire une appli qui permeterait de ne plus passer par la vache a lait qu'est le gsm. c'est pas pour rien que la plupart des opérateur mobile l'interdisse...
[^] # Re: Le problème : l'arriérisme ambiant
Posté par Xowap (site web personnel) . Évalué à 2.
Les temps changent, il y a de plus en plus de forfaits data, et de plus en plus de données véhiculées en IP... Il reste de la thune à se faire avec ça, ne t'en fait pas trop pour les opérateurs mobiles. Donc oui, on peut voir des changements à ce niveau là dans un futur plus ou moins proche.
[^] # Re: Le problème : l'arriérisme ambiant
Posté par Romeo . Évalué à 3.
[^] # Re: Le problème : l'arriérisme ambiant
Posté par M . Évalué à 3.
Tu l'auras peux être l'ipv6 sur ton mobile. Par contre attend toi a un forfait costaud...
Déja que pour avoir des ports ouverts en ipv4 il faut raqué...
[^] # Re: Le problème : l'arriérisme ambiant
Posté par geb . Évalué à 3.
Ok l'internet v6 est un peu moins maillé que l'internet v4, et il y a moins de serveurs geo-localisé en v6 qu'en v4 mais à part quelques millisecondes de plus de ping, je doute que ça change grand chose et surtout que cela puisse être réellement ressenti.
Ce serait bien si ce fameux article expliquait pourquoi/comment ça change(rai) quelque-chose. D'ailleurs, hum, network.http.max-connections-per-server 40, ça a l'air vachement utile, pertinent et surtout réflechi comme réglage... ça illustre bien la qualité du "tuto".
[^] # Re: Le problème : l'arriérisme ambiant
Posté par Victor . Évalué à 5.
L'IPv6 étant utilisé par défaut quand disponible, on se retrouve à attendre des timeout super long pour passer à l'IPv4 de ces machines.
À noter que j'ai une IPv6, et que ça fait 2 ans que je n'ai pas vu ce problème :)
Un autre truc pourrait être le fait qu'on passe par un tunnel, donc on a des goulots d'étranglements...
Peut-être que chez ubuntu ils ont des serveurs APT qui marchent mal avec ce genre de topologie ? :D
[^] # Re: Le problème : l'arriérisme ambiant
Posté par Florent Fourcot . Évalué à 1.
[^] # Re: Le problème : l'arriérisme ambiant
Posté par Xowap (site web personnel) . Évalué à 2.
[^] # Re: Le problème : l'arriérisme ambiant
Posté par B16F4RV4RD1N . Évalué à 2.
Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
[^] # Re: Le problème : l'arriérisme ambiant
Posté par Xowap (site web personnel) . Évalué à 1.
# C'est pas pour dans un an, ni dans trois...
Posté par kowalsky . Évalué à 7.
Le hardware installé aujourd'hui est souvent IPv4 compatible IPv6, mais pas de quoi faire tourner un backbone quoi.
Les compétences des équipes (moi y compris) ne sont pas asser au point pour faire vivre un gros réseau IPv6. Pour faire mumuse avec oui, mais ça, c'est autre chose :)
Le processus actuel fonctionne très bien en IPv4. NAT, PAT, routage, ouverture de flux, VPN, etc..., tout ça c'est bien rodé et automatisé dans la plupart des cas. Le changement, se serait lourd.
Le besoin n'existe pas réellement. ça marche très bien comme ça et pour un bon bout de temps (dans la tête du décisionnel).
[^] # Re: C'est pas pour dans un an, ni dans trois...
Posté par mtcocktail . Évalué à -1.
L'ignoré ou ne pas travaillé dessus aujourd'hui est une erreur. Combien d'administrateur je crois qui me dis : "Nous non on y pense pas encore pour l'instant on laisse comme ça en ipv4".
Et là après un audit tu démontres que son réseau du flux IPv6 passe et dialogue. Un vista, Un seven, un mac, un linux, un équipement réseau récent... Tous ont par défaut la pile IPV6 activé par défaut !
Donc vous avez du flux IPv6 dans toute vos entreprises, ne l'ignorer pas ! Travaillez avec car vous devez sécuriser ces flux en ayant conscience qu'il existe.
[^] # Re: C'est pas pour dans un an, ni dans trois...
Posté par claudex . Évalué à 4.
Mais combien de routeurs ne sont pas compatible IPv6?
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: C'est pas pour dans un an, ni dans trois...
Posté par Xowap (site web personnel) . Évalué à 2.
À tout hasard, Cisco supporte l'IPv6 depuis pas mal de temps maintenant. Du point de vue infrastructure/cœurs de réseau/toussa ça devrait pas être trop compliqué.
C'est surtout côté end user avec un routeur bas de gamme acheté y'a un lustre que ça bloque. Mais vu qu'on parle de l'intérieur d'une entreprise, ça devrait aller :)
[^] # Re: C'est pas pour dans un an, ni dans trois...
Posté par dinomasque . Évalué à 0.
BeOS le faisait il y a 20 ans !
# Mais que fait la police ?
Posté par Sébastien B. . Évalué à 4.
[^] # Re: Mais que fait la police ?
Posté par Xowap (site web personnel) . Évalué à 3.
# Questions naïves
Posté par darkleon (site web personnel) . Évalué à -2.
Exemple: 192.64.192.64 devient 0000:0000:0000:0000:0000:0000:C040:C040
C'est franchement une norme pour les ordinateurs et pas pour les cerveaux humains, 8 paquets de 4 chiffre hexa, on est au delà de la mémoire moyenne d'un humain moyen (qui retient 5 à 7 groupes d'information par grand beau et vent arrière).
64 bits auraient été beaucoup plus raisonnable, 4 paquets de 4 chiffres hexadécimaux, ça se rapprochait des 4 octets de l'IPv4 pour la mémoire.
Je ne suis pas du tout convaincu par l'explication du h ratio pour démontrer qu'on avait ABSOLUMENT besoin de 128bits.
Surtout qu'on gaspille de manière stupide les 64 bits de poids faibles.
Je vois mal un FAI/organisation/particulier avoir besoin de 2^64 adresses.
Alors que faire un ratio 40 bits/24bits, ça laissait plein de réserve, 2^40 adresses pour les pour les réseaux * 2^24 sous réseaux.
Au boulot, on avait /12 adresses, et on ne les a jamais mais alors jamais saturées et on s'est étalés comme des malades. D'ailleurs on a été réduit à /11 adresses au renouvellement du contrat (récupération des plages non utilisées).
Avec 2^40 bits de poids forts, ça nous laisse ~1100 milliards de sous réseaux de 16 millions de machines.
Au pire si on a besoin de plus de 16 millions de machines on prend 2 sous réseaux!!
64bits utilisés de manières plus compressés aurait été largement suffisant, 128bits, c'est pour faire internet dans la galaxie avec toutes les races alien de star trek et star wars réunis.
[^] # Re: Questions naïves
Posté par Pinaraf . Évalué à 3.
Hum, comment dire...
C'est presque le cas...
Je cite Wikipedia :
Hybrid dual-stack IPv6/IPv4 implementations support a special class of addresses, the IPv4-mapped IPv6 addresses. This address type has its first 80 bits set to zero and the next 16 set to one, while its last 32 bits are filled with the IPv4 address. These addresses are commonly represented in the standard IPv6 format, but having the last 32 bits written in the customary dot-decimal notation of IPv4; for example, ::ffff:192.0.2.128 represents the IPv4 address 192.0.2.128.
[^] # Re: Questions naïves
Posté par Florent Fourcot . Évalué à 8.
C'est le principe de 6to4, pour chaque adresse IPv4, on a une bijection vers un /48 en IPv6. Sauf que ça ne change rien. Il faut toujours qu'un administrateur passe pour configurer la chose.
Le problème, c'est qu'une machine IPv4 sans configuration qui reçoit un paquet IPv6, quel qu'il soit, il ne comprend pas. Quelles que soient les solutions de transitions, il faut une mise à jour pour qu'un équipement IPv4 soit capable de reconnaître un paquet IPv6. Et ça, c'est pour les solutions simples ou chaque équipement à une IPv4 publique. Tu rajoutes les NAT au dessus de ce bazar et c'est vraiment la merde.
> Je ne suis pas du tout convaincu par l'explication du h ratio pour démontrer qu'on avait ABSOLUMENT besoin de 128bits.
Ah oui, c'est certain. On aurait pu en mettre que 64. Et prendre le risque d'être emmerdé pour plus tard. Un peu comme les adresses IPv4, qui semblaient largement suffisantes sur 32 bits... Les 64 bits de poids faible ne sont pas perdus, loin de là. L'objectif d'IPv6 est de corriger les faiblesses de v4. Parmi ces faiblesses, il y avait l'obligation de DHCP pour attribuer un nombre très limité d'IP. Avec les 64 bits pour l'identifiant d'interface, on permet de l'auto-configuration sans état. Et sans risques de collisions.
On permet aussi les privacy-extensions, en tirant au hasard une adresse, toujours avec des risques de collisions très faibles. On permet aussi les adresses cryptographiques (CGA), qui permettront de sécuriser les réseaux qui en ont besoins.
Il est certain qu'en voyant IPv6 uniquement comme de l'IPv4 avec plus d'adresses, on ne va pas progresser. Cette nouvelle architecture est loin d'être anodine, on passe d'une gestion des adresses en nombre ultra-limité à un nombre quasi-infini, d'abondance. Ce sont des habitudes à changer, et probablement de nouveaux usages à voir apparaître.
Et autre chose, c'est quoi fondamentalement le problème d'utiliser 128 bits ? Qu'est-ce qui te dérange là-dedans ? Je préfère que des précautions soient prises pour éviter de passer à IPv7 dans 20 ans...
[^] # Re: Questions naïves
Posté par darkleon (site web personnel) . Évalué à -4.
Premièrement et surtout
C'est franchement une norme pour les ordinateurs et pas pour les cerveaux humains, 8 paquets de 4 chiffre hexa, on est au delà de la mémoire moyenne d'un humain moyen (qui retient 5 à 7 groupes d'information par grand beau et vent arrière).
Deuxièmement
2^64 ~ 1,85E19 adresses (dix milliards de milliards, ce qui fait des centaines de millions d'adresses pour chaque humain vivant).
2^128 ~3,4E38 adresses (centaines de milliards de milliard de milliards de milliard), c'est du foutage de gueule, sauf à avoir une densité très faible dans la répartition des adresses, ce qui va être le cas vu leurs plans de diviser en 64bits de poids fort et 64 bits de poids faible.
Avec 2^64 bits, c'est 4milliards fois plus d'adresse que 2^32bits, on avait largement la place de tenir jusqu'à ce qu'on communique entre planète lorsqu'on aura colonisé la galaxie, et au vu des technologies de communication et de transport sub-luminiques actuelles, c'est à dire jamais.
Donc ce que je reproche au 128bits, c'est que c'est "hypergiga overkill" et anti-mémorisation, histoire d'être absolument sûr de devoir passer par un DNS pour communiquer entre ordinateurs et avoir un point de contrôle du réseau.
En diminuant un poil les plages réseau/sous réseau/hôte, on pouvait obtenir la même souplesse en 64bits.
Je suis quasiment certain que la quantité totale de RAM sur tous les ordinateurs (embarqués+ordi+consoles+box+téléphone+pda+supercalculateur) de la planète ne dépasses pas 2^64 bits.
[^] # Re: Questions naïves
Posté par M . Évalué à 2.
Le pb, c'est tout les protocoles qui échange des adresses ip.
Sinon la transition aurait été plus simple : avant d'arrivé chez le client, l'entête ipv6 est reconverti en ipv4
Avec les 64 bits pour l'identifiant d'interface, on permet de l'auto-configuration sans état. Et sans risques de collisions.
Le fait d'utiliser l'adresse MAC est une mauvaise idée :
- celle-ci commence a saturée (utilisé par ethernel, wifi, bt, ...)
- elle est quelques fois random
- c'est pas très respectueux de la vie privée
- ca bouffe qd même 48 bits.
Il est certain qu'en voyant IPv6 uniquement comme de l'IPv4 avec plus d'adresses, on ne va pas progresser. Cette nouvelle architecture est loin d'être anodine, on passe d'une gestion des adresses en nombre ultra-limité à un nombre quasi-infini, d'abondance.
Le pb c'est ipv6 va être au final utiliser seulement pour avoir plus adresse.
Et dans ce cas, il y avait moyen d'étendre ipv4 bien plus simplement.
Par exemple en faisant un encodage à la utf-8 :
les adresses existante continue d'être valide, mais on a la possibilité d'avoir de nouvelles adresses étendue.
En se débrouillant bien ces adresses étendues sont droppé par les anciens équipement (sans conflicter avec d'autres protocoles).
Au final on a :
- un nombre adresse illimité
- un encodage qui permet de garder des adresse retenable par des humains (la taille grossi progressivement)
- un compat avec ipv4, ce qui permet de migrer en douceur. On ne fait qu'étendre le réseau existant, on ne crée pas un réseau //.
[^] # Re: Questions naïves
Posté par Batchyx . Évalué à 2.
[^] # Re: Questions naïves
Posté par Florent Fourcot . Évalué à 2.
>les adresses existante continue d'être valide, mais on a la possibilité d'avoir de nouvelles adresses étendue.
Ce qui est dommage, c'est que l'une des grandes contraintes est d'avoir un adressage à taille fixe, pour des problèmes de perfs. Cette proposition n'aurait donc eu aucune chance de passer à l'IETF.
[^] # Re: Questions naïves
Posté par Xowap (site web personnel) . Évalué à 3.
Le problème n'est pas de gérer l'IPv4 sur un réseau qui gère l'IPv6, aujourd'hui c'est impossible de se dépêtrer de l'IPv4 (même si tu cherche à le désactiver tu te retrouve toujours avec des trucs en IPv4). Quelqu'un qui a une IPv6 a une IPv4. Non le vrai problème c'est de gérer l'IPv6 sur un réseau IPv4.
Pour information, l'IPv6 et l'IPv4 peuvent tourner en parallèle sans le moindre problème, ça a toujours été l'objectif d'IPv6 : pouvoir laisser l'IPv4 en place pendant qu'on active progressivement des services en IPv6. Seulement voilà, ça fait 10 ans, on a construit le net depuis, mais en reportant systématiquement l'IPv6 à plus tard.
Résultat aujourd'hui (ou demain pour ceux qui préfèrent) on est au pied du mur, et chaque jour qui passe on se rapproche d'une migration catastrophe.
[^] # Re: Questions naïves
Posté par llaxe . Évalué à 3.
Parce qu'il vaut mieux une migration catastrophe que pas de migration du tout.
[^] # Re: Questions naïves
Posté par Xowap (site web personnel) . Évalué à 2.
Après, c'est clair que le NAT a encore de beaux jours devant lui, hélas...
[^] # Re: Questions naïves
Posté par M . Évalué à 1.
Et franchement niveau perf, je demande a voir.
[^] # Re: Questions naïves
Posté par beagf (site web personnel) . Évalué à 3.
Dans la pratique ce pinaillage est important car dans la très grande majorité des cas, seul l'en-tête de base en nécessaire au routage et donc les routeurs peuvent travailler sur cet en-tête fixe et donc être bien plus optimisés.
Il y a deux options qui sont utilisées par les routeurs :
- les jumbo frames qui sont rarement utilisées sur internet mais plutôt en réseau local là ou il y a quand même moins de trafic à gérer.
- les modification de routage notament pour mobile6 mais ces paquets restent très rares.
Donc en pratique c'est bien plus simple à gérer que l'ipv4. Surtout si tu rajoute les aspect suivants :
- il n'y a plus de CRC sur le header, donc le routeur n'a plus à les recalculer. Avant il fallait le faire pour chaque paquet puisque le champ TTL est modifié à chaque fois.
- le routeur n'a plus à gérer la fragmentation des paquets, c'est l'émeteur qui s'en charge.
[^] # Re: Questions naïves
Posté par Xowap (site web personnel) . Évalué à 2.
En d'autres termes, aujourd'hui dans 99% des cas les seuls éléments de l'entête que le routeur aura à "parser" ce sera l'IP source et l'IP de destination.
[^] # Re: Questions naïves
Posté par Romeo . Évalué à 2.
[^] # Re: Questions naïves
Posté par beagf (site web personnel) . Évalué à 1.
- Tout d'abord, il n'y a aucun problème pour utiliser des jumbo frames sur de l'ethernet, c'est même un de leurs principaux intérêts. Ça permet de correctement utiliser des liens ethernet 1Gb ou 10Gb. Et l'on ce limite aux réseaux locaux car en cas de passage via internet, il y a peu de chances qu'il n'y ait pas un routeur sur le chemin qui demande la fragmentation du paquet.
- Dans le cas d'IPv6, le header supplémentaire ne concerne pas les jumbo frames mais les jumbo grammes. Ils permettent de repousser encore plus loin les limites.
Aussi bien en IPv4 que en IPv6, la taille maximum de la charge est de 64k vu que le champs qui l'encode est codé sur 16bits. Cette taille est déjà très dure à atteindre car il faut que les couche du dessous en soient capable.
On parle de jumbo frame lorsque le paquet fais plus de 1500 octets mais on reste limité par la taille max de la charge d'un paquet et d'autres considération techniques. Tant que l'on reste en dessous de 64k de charge, on continue de parler de jumbo frame et en IPv6 on reste avec juste le header standard. Si l'on veux passer au dessus, on passe aux jumbo grammes et dans ce cas on ajoute un header supplémentaire qui permet de spécifier une taille de charge allant jusqu'à 4Go.
Le truc c'est que actuellement c'est déjà le bordel pour utiliser des jumbo frame avec 8k de charge, donc on a encore le temps avant de passer au dela de 64k...
Et dans la pratique, les applications qui peuvent réellement tirer profit de frame de plus de 64k sont très spécifiques et vont rarement entrer dans le circuit de routage classique, donc pour les routeurs sur internet il n'y a pas trop à ce préoccuper de ce header et donc il n'impose pas de problèmes de perfs.
On reviens donc bien à header de taille fixe...
[^] # Re: Questions naïves
Posté par Xowap (site web personnel) . Évalué à 2.
[^] # Re: Questions naïves
Posté par Batchyx . Évalué à 7.
Et même si on considérait de base qu'il faut impérativement retenir des adresses IP, avec 64bit ça fait des adresses à la 61.23.209.40.121.215.133.19 ou à la f250:e010:d77d:1804. À mon avis y a pas grand monde qui retiendrai des adresses pareilles. Ceux qui sont capables de les retenir peuvent bien retenir une ipv6, c'est pas beaucoup plus compliqué et c'est tout autant inutile.
Au final on à des IP irretenable et une autre migration vers du 128, du 256 ou du 1024 à prévoir. Les deux inconvénient des deux technos IP en gros.
[^] # Re: Questions naïves
Posté par darkleon (site web personnel) . Évalué à -1.
Il va peut-être falloir apprendre que retenir une adresse IP c'est du masochisme. Est ce que vous retenez des adresses MAC, des hash MD5, SHA256, des UUID et des MessageID ? Non ? Et alors ? Pourquoi retenir des adresses IP ? Surtout qu'on à inventé un petit protocole appelé DNS pour éviter ça.
Pour les adresses IP, c'est bien pratique quand tu n'as pas déclaré de nom de domaine ou dans un intranet pour tester les connexions avant de les enregistrer dans le DNS, ou pour vérifier que le problème ne vient pas du DNS justement.
Généralement dans un intranet, tu as les 2/3 premiers octets qui sont toujours les mêmes, donc pour retenir une machine, tu ne retiens que le dernier octet (oui, parce que nos normes de nomages sont encore plus compliqués que retenir une adresse IP).
La différence avec les exemples cités, c'est qu'ils sont tous générés automatiquement, alors que l'IP est choisie (quand on a un sous réseau à soit).
[^] # Re: Questions naïves
Posté par Batchyx . Évalué à 2.
2000:c00c:0010::0.0.20.3 ?
Mais franchement, je n'ai aucun problème avec les SHA256 qui sont certainement plus horribles que tes ip 64bit. On peut déjà faire du copier/coller, comparer tout ou une partie avec nos yeux ou avec un outil plus spécialisé, l'incrémenter/le décrémenter à la main ... Pourquoi ça serait impossible de manipuler une ipv6 ? y a besoin de plus d'opérations ?
[^] # Re: Questions naïves
Posté par Pinaraf . Évalué à 3.
Or, ça sera la même chose avec l'IPv6...
Par exemple, ma machine pourrait être 2a01:f45:2e57:b9d1::42, donc depuis une autre machine, je n'ai aussi que deux octets à retenir...
[^] # Re: Questions naïves
Posté par M . Évalué à 0.
[^] # Re: Questions naïves
Posté par Xowap (site web personnel) . Évalué à 3.
[^] # Re: Questions naïves
Posté par Gniarf . Évalué à 3.
[^] # Re: Questions naïves
Posté par totof2000 . Évalué à 3.
[^] # Re: Questions naïves
Posté par totof2000 . Évalué à 2.
[^] # Re: Questions naïves
Posté par Xowap (site web personnel) . Évalué à 5.
Et en plus, même si les adresses IPv4 étaient mappées directement en IPv6 (pour autre chose que du tunnel ou de la traduction niveau OS), tu pourrais à la limite envoyer des paquets, mais avec aucune capacité de réponse de la part de ton correspondant car tu serais hors de son espace d'adressage. Sauf à avoir toi même une IPv4, mais là ça ne sert plus à rien...
[^] # Re: Questions naïves
Posté par geb . Évalué à 2.
Exemple: 192.64.192.64 devient 0000:0000:0000:0000:0000:0000:C040:C040
http://en.wikipedia.org/wiki/IPv6#IPv4-mapped_IPv6_addresses
Le livre du g6/point6 doit aussi contenir une explication plus complête et plus détaillée.
T'as du 'achement te renseigner avant de poser la question :)
[^] # Re: Questions naïves
Posté par darkleon (site web personnel) . Évalué à -1.
Effectivement, mais pourquoi lire ce p%*$@n de manuel quand on peut lancer un troll poilu pour avoir une réponse plus rapide et plus argumentée que google :-D
[^] # Re: Questions naïves
Posté par 2PetitsVerres . Évalué à 10.
Ça tombe bien, c'est prévu pour connecter des ordinateurs entre-eux.
Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.
# Géo localisation: des progrès à faire
Posté par Jean-Max Reymond (site web personnel) . Évalué à 1.
[^] # /
Posté par maxime1986 . Évalué à 2.
Il peut donc paraître normal que tu ais des problème sur les site utilisant la géolocalisation.
Perso j'ai déjà eu le problème en IPv4 (j'apparais comme habitant en Australie alors que je suis actuellement au Canada ... ça fait quand même du chemin...)
Ce qui me scandalise le plus dans ton problème c'est pas que ton IP ne soit pas mappé en France mais plutôt que YouTube se base sur la géolocalisation pour restraindre l'accès à ces vidéos.
[^] # Re: /
Posté par claudex . Évalué à 1.
Et sur quoi d'autres voudrais-tu qu'ils se basent?
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: /
Posté par briaeros007 . Évalué à 2.
[^] # Re: /
Posté par maxime1986 . Évalué à 0.
briaeros007 : sur aucune restriction géographique?
Oui ça se serait le top. Perso je pense qu'il faudrait une première vérification basé sur la géolocalisation puis, si la personne apparaît comme étant à l'étranger, une question/checkbox du style :
"je certifie sur l'honneur blablabla je suis Français."
[^] # Re: /
Posté par Krunch (site web personnel) . Évalué à 5.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: /
Posté par claudex . Évalué à 4.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: /
Posté par fearan . Évalué à 2.
On s'est fait enfler sur le zonage des DVDs, des consoles... Mais c'est une entrave à la libre concurrence pourtant prôné par ces états.
Ce zonage n'a aucun sens.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: /
Posté par claudex . Évalué à 2.
Ce n'est absolument pas une réglementation mais un accord avec les fournisseurs de contenu. Ils n'ont pas vraiment le choix.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: /
Posté par fearan . Évalué à 2.
Il est où libre échange? La concurrence libre et non faussée ? Ces truc dont on nous rabats les oreilles pour nous faire avaler toutes les couleuvre, et désintégrer le service publique.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: /
Posté par Xowap (site web personnel) . Évalué à 3.
Alors que si y'avait pas tout ça, si ça se trouve on paierait pour de la VOD ou même pire on achèterais des DVD, en import !
Qu'ils continuent à mettre des limitations, ça continuera à motiver les hackers :)
(il serait totalement abracadabrantesque d'imaginer que ce message soit ironique)
[^] # Re: /
Posté par claudex . Évalué à 2.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: /
Posté par briaeros007 . Évalué à 3.
Je trouve juste idiot de vouloir a tout prix rentrer au forceps des us et coutumes d'un autre siècle dans internet car "le plus urgent c'est de ne rien faire" (et d'intenter un procès à ses clients).
[^] # Re: /
Posté par Xowap (site web personnel) . Évalué à 2.
Concernant les problèmes de géolocalisation, comme à priori ça utilise des base de données d'IP, ton paquet pourrait passer par la Chine que tu serais toujours localisé en France.
C'est juste que leurs bases de données IPv6 ne sont pas à jour/existantes...
(Pourtant localiser par pays en IPv6 ça doit pas être bien dur, suffit de connaître le préfixe de chaque opérateur...)
# Ce qui bloque aussi IPv6 ...
Posté par tipmeabout . Évalué à -6.
[^] # Re: Ce qui bloque aussi IPv6 ...
Posté par Pinaraf . Évalué à 9.
[^] # Re: Ce qui bloque aussi IPv6 ...
Posté par tipmeabout . Évalué à -4.
Maintenant, si tu veux mon avis, alors que je bosse dans l'informatique, ça me fait aussi chier ce changement. Mais j'y passerai, le temps de s'habituer à avoir 16 doigts au lieu de 10.
[^] # Re: Ce qui bloque aussi IPv6 ...
Posté par beagf (site web personnel) . Évalué à 10.
[^] # Re: Ce qui bloque aussi IPv6 ...
Posté par totof2000 . Évalué à 9.
Ouais, t'as raison, va expliquer qu'une adresse postale ça s'écrit avec des lettres et des nombres. Je suis sur que le courrier via la Poste, ça marchera jamais.
Mais j'y passerai, le temps de s'habituer à avoir 16 doigts au lieu de 10.
Les utilisateurs d'Emacs ont un poil d'avance sur toi ... :)
[^] # Re: Ce qui bloque aussi IPv6 ...
Posté par llaxe . Évalué à 3.
[^] # Re: Ce qui bloque aussi IPv6 ...
Posté par Xowap (site web personnel) . Évalué à 9.
Celui que ça dérange c'est le sale geek avec une mauvaise mémoire qui a la flemme d'apprendre une nouvelle techno :)
# terminaux mobiles
Posté par Baptiste SIMON (site web personnel) . Évalué à 2.
avec l'arrivée des terminaux mobiles, avec la multiplication des "objets communiquants"... j'espère bien que les usages d'un côté et les limitations techniques pures vont enfin permettre de passer à une étape suivante en ce qui concerne l'adressage sur Internet.
. que Free passe sur du vrai IPv6 /48
. que Orange/FT s'y mette
. etc...
après on en reparlera.
mais ils attendent quoi ? on n'est plus en 2003. les stacks v6 sont là et bien fonctionnelles. foncez messieurs-dames ! marre du pseudo roaming 3G limité à toujours sortir, jamais entrer.
à suivre !
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.